Procedimientos 5 minutos de lectura

ISO27001 E ISO27002: DEFINICIONES, DIFERENCIAS, Y BREVES TIPS PARA EMPEZAR A IMPLEMENTARLAS

Introducción

Cuando hablamos de seguridad de la información, dos normas se repiten siempre: la ISO/IEC 27001 y la ISO/IEC 27002. Son hermanas dentro de la familia 27000, pero cumplen roles distintos y complementarios.
Entender cómo encajan es clave para implantar una seguridad eficaz, auditables y con sentido de negocio.

ISO27001: el marco de gestión

La ISO 27001 es la norma certificable. Define los requisitos para implantar un Sistema de Gestión de Seguridad de la Información (SGSI) y mantenerlo en mejora continua de forma cíclica.
Dicho de otra forma, marca el qué debes tener para garantizar que tu información está protegida de manera estructurada, controlada y auditable.
Un SGSI según ISO 27001 implica:

  • Definir el alcance y el contexto de la seguridad.
  • Realizar análisis y tratamiento de riesgos.
  • Establecer políticas, roles y responsabilidades.
  • Documentar controles aplicables en la Declaración de Aplicabilidad (SoA).
  • Planificar auditorías internas, revisión por la dirección y mejora continua (PDCA).

En total, hablamos de un proceso cíclico que exige disciplina y compromiso, pero que da como resultado un sistema certificable reconocido internacionalmente.

ISO27001: elementos clave

  • Ciclo PDCA aplicado a la seguridad.
  • Requisitos sobre alcance, riesgos, política, auditorías, revisión, mejora. 16 pasos principales (definición del alcance, análisis de riesgos, política de seguridad, auditorías internas, revisión de la dirección, mejora continua, etc.).
  • Documentos clave: SoA, análisis y tratamiento de riesgos, procedimientos.
  • Es certificable y auditable por entidades acreditadas.

ISO 27002: la guía práctica

La ISO 27002 no es certificable, pero sí fundamental como guía de implementación. Su función es detallar cómo aplicar los controles de seguridad mencionados en el Anexo A de la ISO 27001. La versión de 2022 reorganiza los controles en 4 categorías:

  1. Controles organizacionales (37 controles): Por ejemplo, políticas, gobierno, relaciones con proveedores, continuidad de negocio.
  2. Controles de personas (8 controles): Por ejemplo concienciación, responsabilidades, alta y baja de personal.
  3. Controles físicos (14 controles): Por ejemplo seguridad en oficinas, controles de acceso físico, protección de equipos.
  4. Controles tecnológicos (34 controles): Por ejemplo cifrado, autenticación multifactor, monitorización, seguridad en la nube.

En total, 93 controles que incluyen propósito, guía de implementación y ejemplos concretos.

Cómo se relacionan

  • ISO 27001 = el marco: exige un SGSI con decisiones basadas en riesgos.
  • ISO 27002 = la guía: te indica cómo implantar los controles con detalle.

Consejos para empezar a implementarlas

  1. Empieza por la 27001: define alcance y riesgos. Es la base del camino.
  2. Selecciona controles: en el SoA según tus riesgos y objetivos (no todos aplican a todos).
  3. Baja a tierra con 27002: convierte el papel en políticas, procedimientos y formación.
  4. Prioriza: no intentes implantar los 93 a la vez; aborda los críticos primero.
  5. Designa un responsable del SGSI: con autoridad real y apoyo de la dirección.
  6. Mantén evidencias vivas: usa una plataforma de documentación/versionado (p.ej., Confluence/SharePoint/Nextcloud) para políticas, actas y registros.
  7. Mide y mejora: define indicadores (concienciación, incidentes, tiempos de respuesta) y revísalos.
  8. Busca acompañamiento experto: para acelerar y evitar errores comunes.

Por qué merece la pena

  • Refuerza confianza de clientes y socios.
  • Reduce riesgos de incidentes y brechas.
  • Crea de seguridad en toda la empresa.
  • Facilita el cumplimiento de otras normativas (RGPD, NIS2, AI Act…).

Consejos para empezar a implementarlas

  1. Empieza por la ISO 27001. Es el marco de referencia y el primer paso hacia la certificación. Define tu alcance y riesgos (ISO 27001).
  2. Selecciona los controles aplicables en tu SoA. Haz un análisis de riesgos realista. No todos los 93 controles aplican a tu empresa. Elige los que respondan a tus riesgos y a tus objetivos de negocio.
  3. Apóyate en la 27002 para implementar con detalle esos controles. Usa la ISO 27002 como “recetario”. No te quedes en el papel: llévalo a la práctica con políticas, procedimientos y formación
  4. No intentes aplicar los 93 controles sin más: céntrate en los que responden a tus riesgos reales. Usa la ISO 27002 como “recetario”. No te quedes en el papel: llévalo a la práctica con políticas, procedimientos y formación
  5. Forma a tu equipo y mide resultados: un SGSI sin cultura de seguridad es insostenible. Involucra a la dirección. Sin apoyo de la gerencia, el SGSI será papel mojado.
  6. Documenta y mide. Lo que no se mide no se mejora. Define indicadores y registra evidencias.
  7. Busca asesoramiento experto: acorta el camino y evita errores comunes. Busca asesoramiento experto. La experiencia externa acorta tiempos, evita errores comunes y asegura alineación con la norma.

¿Por qué merece la pena?

Adoptar la ISO 27001 con el apoyo de la ISO 27002 no solo abre la puerta a una certificación reconocida internacionalmente, sino que también:

  • Refuerza la confianza de clientes y socios.
  • Reduce riesgos de incidentes y brechas de seguridad.
  • Genera cultura de seguridad dentro de la empresa.
  • Facilita el cumplimiento de otras normativas (RGPD, NIS2, AI Act).

En definitiva, se trata de convertir la seguridad en una ventaja competitiva.

Relación con otros marcos y normas

ISO 27001/27002 son la base para alinear otros esquemas:

  • En España, el ENS bebe del enfoque de 27001.
  • En pagos,PCI DSSexige controles equivalentes (gestión de riesgos, monitorización, hardening).
  • El AI Act europeo refuerza la trazabilidad, el control de proveedores y la gobernanza, áreas ya contempladas por un SGSI maduro.

Conclusión: alinear tu SGSI con 27001/27002 te prepara de forma natural para cumplir marcos presentes y futuros.

Errores frecuentes al implementar ISO 27001/27002

  • Tratar la certificación como un fin y no como mejora continua.
  • Aplicar controles de forma genérica, sin trazabilidad al riesgo del negocio.
  • Documentación “bonita” pero sin evidencias vivas ni revisión periódica.
  • Falta de compromiso directivo y ausencia de responsables claros.

Como se relacionan

La relación entre ambas es directa:

  • ISO 27001 → el marco: exige que tu SGSI incluya controles basados en riesgos.
  • ISO 27002 → la guía: te indica cómo implantar esos controles en detalle.

Ejemplo práctico

El control 5.23 de la ISO 27002 recomienda la eliminación segura de información.

  • Si tu análisis de riesgos determina que es relevante, lo incluirás en tu SoA de ISO 27001.
  • Para aplicarlo, usarás la 27002 como referencia práctica (métodos de borrado seguro, políticas de destrucción física de soportes, etc.).

ISO 27001 vs ISO 27002 — tabla rápida

ASPECTO ISO/IEC 27001 ISO/IEC 27002
Naturaleza Norma certificable. Norma de buenas prácticas.
Enfoque Define el SGSI: requisitos, gestión del riesgo, documentación, auditorías. Explica cómo aplicar los controles de forma práctica y técnica.
Objetivo Principal Implantar un marco de gestión de la seguridad de la información. Servir de guía para implementar los controles del Anexo A.
Ámbito Gestión, riesgos, políticas, procesos. Controles específicos (organizacionales, personas, físicos, tecnológicos).
Controles Se remite al Anexo A (93 controles) pero no entra en detalle. Desarrolla en profundidad los 93 controles, con ejemplos.
Documentación Clave Declaración de Aplicabilidad (SoA), Análisis de Riesgos, Políticas del SGSI. Políticas y procedimientos específicos para cada control.
Certificación Sí, acreditada por organismos externos. No certificable, pero sirve como guía de referencia.
Beneficio Reconocimiento internacional, marco formal y auditable. Detalle práctico, guía técnica y aplicabilidad en el día a día.

Conclusión

La ISO 27001 y la ISO 27002 no compiten, se necesista, y se complementan. Una da el marco de gestión y la certificación, la otra aporta la guía técnica que convierte los requisitos en realidad operativa.
Dicho de otra manera, la ISO 27001 y la ISO 27002 no son lo mismo, pero se necesitan mutuamente. Una pone el marco, la otra los detalles. Juntas permiten a cualquier empresa estructurar su seguridad, reducir riesgos y demostrar con hechos que protege la información de forma responsable.
Juntas permiten estructurar la seguridad, reducir riesgos y demostrar con evidencias que proteges la información de forma responsable.