En muchos casos, tanto entre los profanos como entre los entendidos, es habitual escuchar hablar de ISO 27001 e ISO 27002 (ex-ISO 17799) como de dos normas equivalentes. En el primer caso no me parece grave, y es incluso previsible, pero creo que las personas más expertas deberían hablar con más propiedad, sobre todo teniendo en cuenta los problemas que puede ocasionar la confusión de ambas normas. Porque, aunque puede que alguien se escandalice al oirlo, ambas normas son MUY distintas.
Cuando hablo de las diferencias entre ellas no me refiero sencillamente al hecho de que una (27002) sea un código de buenas prácticas y la otra (27001) una especificación, sino a la filosofía y alcance que tienen una y otra.
La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, los objetivos de seguridad a perseguir, una serie de consideraciones (controles) a tener en cuanta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión.
Por su parte, y no nos olvidemos de ello, la ISO 27001 habla de los controles de forma residual. El núcleo de la norma anterior queda reducido a un listado de objetivos de control y controles incluidos en un anexo (normativo, pero anexo). No aparecen en el cuerpo de la norma, porque en absoluto son la parte más importante. Porque lo que importa en esta norma es la gestión de la seguridad, en forma de sistema de gestión. Desde mi punto de vista, los controles forman parte del anexo más por "compasión" que por necesidad. Lo que importa en la ISO 27001 es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre todo, se revise y se corrija y mejore. Pero claro, a la hora de la verdad no se "atrevieron" a dejar totalmente abierto, sin ningún tipo de guía ni mínimo, el modo de implementar o mejorar la seguridad de la información, y por eso establecieron, aprovechando la norma anterior, un listado de controles sobre los que seleccionar los más apropiados. Para facilitar la gestión de riesgos tanto al implementador como al auditor, ya que la norma anterior (27002) sólo establecía sugerencias, pero no requisitos. Al menos, eso creo yo.
¿Por qué intento dejar claras las diferencias entre una y otra norma? Porque en muchos casos a la hora de pensar en implementar un SGSI la gente piensa rápidamente en ponerse a "cumplir" los 133 controles del anexo, y tratar de cumplir con todas las "sugerencias" que da la ISO 27002 para cada control. Y se olvidan de que el objetivo de la ISO 27001, que es la norma que define cómo tiene que ser un SGSI, es precisamente el CONTRARIO: que la empresa sea capaz de priorizar y seleccionar controles en base a sus posibilidades y a sus necesidades/riesgos de seguridad.
¿Qué quiero decir con esto? Que es mucho más importante asegurar el respaldo de la dirección, el establecimiento de una metodología efectiva de mejora continua o la existencia de un comité de seguridad que el cumplimiento exhaustivo y la trazabilidad del control x.y.z en no-sé-qué entorno de producción. Con la ventaja adicional de que probablemente sea más barato conseguir lo primero que lo segundo (si es más fácil o más difícil ya entra en el pantanoso terreno de la cultura empresarial).
Comentarios
Publicar un comentario