ISO 27002: controles de seguridad o lista de deseos sin presupuesto

📌 Para personas sin formación técnica.
  Si eres experto: va simplificado, pero accionable.

¿Has visto ese “Excel de seguridad” donde todo está en verde… y en realidad nadie hace nada?
  Eso es teatro de seguridad: aparentar control sin reducir riesgo real. 🎭

ISO/IEC 27002 puede ayudarte muchísimo… o hacerte perder meses.
  La diferencia está en una palabra: contexto.

En este artículo vas a entender qué es 27002, para qué sirve de verdad, y cómo implementarla sin caer en “documentitis”.
  Promesa en 3 líneas: priorizar controles, evidenciar operación, y convertir auditoría en mejora real.

Fundamentos: qué es ISO/IEC 27002 (sin rodeos)

ISO/IEC 27002 es un catálogo de controles de seguridad de la información.
  Piensa en un “menú” de opciones, no en una receta.

No es certificable por sí sola.
  La certificación suele venir por ISO/IEC 27001, que pide un sistema de gestión y evidencia de operación.

La versión 2022 reorganizó el catálogo en 4 temas y dejó 93 controles.
  Antes (2013) eran 114, con una estructura distinta. 📊

Los 4 temas son:

• Organizacionales (gobierno y reglas del juego)
• Personas (cultura y ciclo de vida del empleado)
• Físicos (espacios y equipos)
• Tecnológicos (controles lógicos y técnicos)

ISO 27002 te dice qué controles existen y qué buscan lograr.
  Pero no te dice “pon esta herramienta”, “hazlo cada martes” o “que lo firme Juan”.

Eso lo defines tú con tu contexto: riesgo, negocio, capacidad y obligaciones.

El problema real: cuando ISO 27002 se vuelve “teatro”

El teatro se ve así:
  “Control implementado” en un documento, pero en la realidad nadie lo ejecuta.

Pasa por tres razones típicas:

1. Se eligen controles “porque lo dice la norma”, no por riesgo.
2. Se trata como proyecto de TI, sin Legal, RR. HH., Compras y Operaciones.
3. Se confunde documentar con operar.

Resultado: seguridad bonita en Word… y frágil en producción.

Ejemplo clásico: “tenemos backups”. 🟢
  ¿Se prueba restauración? ¿Hay RTO/RPO? ¿Hay evidencia?
  Si no, el backup es esperanza, no control.

Otro clásico: “tenemos firewall”. 🟡
  Firewall = el portero del edificio: si nadie le da reglas, deja pasar a cualquiera.

Y el peor: “pasamos auditoría, estamos seguros”.
  Cumplimiento no es invulnerabilidad; es gestión de riesgo.

Componentes: cómo “funciona” ISO 27002 en la práctica

ISO 27002 funciona cuando la usas como banco de controles para tratar riesgos.
  No como lista plana para marcar casillas.

Tu implementación debería amarrar cada control a 5 cosas:

• Riesgo que trata
• Objetivo del control (qué cambia)
• Dueño (rol responsable)
• Evidencia (qué prueba que opera)
• Métrica (cómo sabes si funciona)

Si falta una, el control se vuelve decorativo.

Diagrama mental (simple):
 Riesgo → objetivo → control → operación → evidencia → mejora

Y aquí aparece un artefacto clave: la SoA. 🔴
  SoA (Statement of Applicability / Declaración de Aplicabilidad) es donde justificas qué controles aplican, por qué, y cómo están implementados.

Si tu SoA dice “todo aplica” sin análisis, es una bandera roja.

Para qué SÍ sirve ISO 27002 (según tu tamaño)

En empresas pequeñas (10–50, sin seguridad dedicada):
  Sirve como checklist de conciencia para no llegar a una auditoría preguntando “¿qué es un log?”.

Ejemplo 1 (startup fintech):
  Para cerrar contrato con un banco, necesitas mínimos: accesos, contraseñas, 🟡MFA y backups.
  No implementas los 93 controles; eliges los que sostienen el negocio.

En empresas medianas (100–500, TI/seguridad pequeño):
  Sirve para formalizar lo que ya existe “tribalmente”.
  Lo que hoy es “Pedro da de baja usuarios cuando se acuerda”, mañana debe ser proceso repetible.

Ejemplo 2 (empresa SaaS regional):
  Hay alta/baja de usuarios, pero sin RR. HH. conectado.
  ISO 27002 te empuja a definir responsables, tiempos y evidencias.

En empresas grandes (500+ y múltiples sedes):
  Sirve como lenguaje común para estandarizar y comparar madurez.
  Te permite auditar subsidiarias con una misma base.

Ejemplo 3 (grupo con 20 filiales):
  Mismo control, distinta realidad.
  ISO 27002 ayuda a normalizar expectativas y evidencias.

Para qué NO sirve (y conviene decirlo en voz alta)

Si el liderazgo no compra el tema, no sirve.
  Porque muchos controles requieren decisión ejecutiva y presupuesto continuo.

Tampoco sirve como “certificación rápida”.
  27002 no es certificable; y certificar 27001 sin operar controles es camino al choque.

Y no sustituye criterio técnico.
  La norma no decide por ti si usar TLS 1.3, KMS o qué arquitectura.

Si tu operación es caótica (alta rotación, cambios sin control), ISO 27002 sin cimientos es maquillaje.

Normativas y marcos: dónde encaja ISO 27002

ISO 27002 se usa mucho como base para implementar controles que sostienen un SGSI 🔴 (Sistema de Gestión de Seguridad de la Información).

También convive con regulaciones y marcos:

• GDPR (medidas técnicas y organizativas “apropiadas”)
• PCI-DSS (pagos: requisitos específicos)
• HIPAA (salud en EE. UU.)
• NIST CSF (funciones: identificar, proteger, detectar, responder, recuperar)
• CIS Controls (priorización técnica clara)

Idea práctica:
  NIST CSF puede ayudarte a gobernar “macro”.
  ISO 27002 baja a controles “micro”.
  CIS te ayuda a priorizar lo técnico cuando el equipo es pequeño.

Implementación práctica: 7 pasos para hacerlo bien

Paso 1: define alcance defendible

Alcance = qué procesos, sistemas, sedes y datos entran.
  Si dices “toda la empresa” pero solo cubres TI central, te expones.

Entrega mínima: mapa de “crown jewels” (activos críticos).

Paso 2: arma escenarios de riesgo

No hagas una lista infinita de amenazas.
  Haz escenarios: activo + amenaza + vulnerabilidad + impacto.

Con 15–30 escenarios bien hechos, decides mejor que con 200 genéricos.

Paso 3: traduce riesgo a objetivo medible

“Mejorar monitoreo” no sirve.
  “Detectar accesos anómalos en <X> minutos” sí.

Paso 4: selecciona controles como componentes

Aquí ISO 27002 brilla: eliges controles que logran objetivos.
  No coleccionas controles para el auditor.

Paso 5: construye la SoA con justificación técnica

“No aplica” no es justificación.
  Mejor: “fuera de alcance”, “riesgo aceptado”, “control equivalente”, “control compensatorio”.

Paso 6: diseña evidencia de operación

Evidencia fuerte: tickets, logs, reportes, revisiones, pruebas.
  Evidencia débil: PDFs bonitos sin registros.

Paso 7: mide y mejora

Define pocos KPIs que cambien decisiones.
  Ejemplo: tiempo medio de remediación de vulnerabilidades críticas, cobertura de 🟡MFA en cuentas privilegiadas, éxito de restauración de backup.

Prácticas recomendadas (5–7 tips que sí mueven la aguja)

✅ 1) Empieza por básicos bien hechos
  🟢Password manager, 🟢MFA, 🟢backups probados, 🟢parches, 🟢inventario de activos.

✅ 2) Asigna dueños por control (RACI)
  Si “seguridad” es dueña de todo, en realidad nadie lo es.

✅ 3) Evidencia automática > evidencia manual
  Logs centralizados y tickets viven más que capturas sueltas.

✅ 4) Revisión de accesos con ritmo fijo
  Mensual para privilegios, trimestral para accesos generales (ajusta a tu riesgo).

✅ 5) Terceros: no basta con contrato
  Cláusulas sin verificación son fe.
  Haz revisiones, mínimos, y monitoreo de proveedores críticos.

✅ 6) Simulacros realistas
  Concienciación no es una charla anual.
  Simulacros de phishing y ejercicios de incidentes te muestran verdad.

✅ 7) Prueba restauración de backups
  Si nunca restauraste, no sabes si tienes plan.

Errores comunes (y cómo detectarlos rápido)

❌ 1) “Todo aplica” en la SoA
  Se detecta cuando nadie puede explicar por qué un control es relevante.

Corrección: prioriza por riesgos y alcance, y documenta la razón.

❌ 2) Copiar-pegar políticas
  Se detecta cuando el texto habla de tecnologías que ni usas.

Corrección: políticas cortas, operables, con responsables y frecuencia.

❌ 3) Herramienta = control
  Comprar DLP/EDR/SIEM 🟡 no significa que opere.

Corrección: define casos de uso, cobertura, alertas, y revisión periódica.

❌ 4) Medir “cumplimiento”, no “eficacia”
  Se detecta cuando tienes “100% implementado” pero incidentes repetidos.

Corrección: KPIs + pruebas + acciones correctivas.

❌ 5) Controles on-prem en empresa SaaS
  Se detecta cuando intentas “controlar el perímetro” y no hay perímetro.

Corrección: adapta al modelo cloud/SaaS: identidad, configuración, logging, terceros.

Casos rápidos: situación → solución → resultado

Caso A (mediana, 250 personas):
  Situación: bajas tardías, ex empleados con acceso.
  Solución: proceso con RR. HH. + tickets + revisión mensual de privilegios.
  Resultado: menos cuentas huérfanas y auditoría sin hallazgo repetido.

Caso B (startup, 35 personas):
  Situación: credenciales compartidas en chats.
  Solución: 🟢password manager + 🟡MFA + rotación de secretos.
  Resultado: menos riesgo de fuga y onboarding más rápido.

Caso C (grupo grande):
  Situación: cada filial “hace seguridad a su manera”.
  Solución: baseline común con ISO 27002 + métricas comparables.
  Resultado: visibilidad, priorización y presupuesto defendible.

Conclusión

ISO 27002 no es una varita mágica.
  Es un catálogo potente si lo conectas a riesgo, dueños, evidencia y métricas.

Qué te llevas hoy:

1. No implementes controles por checklist; hazlo por contexto.
2. Un control “real” deja registros, métricas y mejora continua.
3. Auditoría no es teatro si tu operación es verificable.

💬 Sígueme
  📖 vvc-consultor.com

Hashtags (LinkedIn): #ISO27001 #Ciberseguridad #GestiónDeRiesgos #GobiernoTI #vvcconsultor
  Hashtags (Instagram): #Ciberseguridad #ISO27002 #ISO27001 #SeguridadInformática #RiskManagement #Compliance #Auditoría #vvcconsultor