Este documento presenta una introducción a los controles mínimos de seguridad de la información requeridos según la norma ISO 27002:2022. Explica que la norma fue actualizada en febrero de 2022 y establece 93 controles agrupados en cuatro categorías. También resume los principales cambios respecto a la versión anterior de 2013, incluyendo una nueva estructura de atributos para cada control y conceptos ampliados de ciberseguridad y protección de datos.

1. Sistematización de Contenidos
Profesionales de La Carrera
Tema: 4. Seguridad Informática
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec

2. “No temo a los ordenadores; lo que temo es quedarme
sin ellos”
— Isaac Asimov

3. Objetivo
• Entender los
requerimientos de
seguridad de la información
de una organización y la
necesidad de establecer una
política y objetivos para
esto.
● 4.2 Controles mínimos
requeridos - ISO 27002:2022
Contenido

4. ODS
● 4.3 De aquí a 2030, asegurar
el acceso igualitario de todos
los hombres y las mujeres a
una formación técnica,
profesional y superior de
calidad, incluida la enseñanza
universitaria
META

5. 4.2 Controles mínimos requeridos - ISO 27002:2022

6. Introducción
• El pasado 16 de febrero de 2022 fue publicada por ISO
(International Organization for Standardization) la
actualización de ISO 27002, norma diseñada para uso por
parte de las organizaciones como referencia para la
selección de controles dentro del proceso de
implementación de un Sistema de Gestión de Seguridad de
la información (SGSI) con base en la norma certificable
ISO/IEC 27001.

7. Introducción
• La publicación de 2022 es la tercera versión de la norma ISO
27002, que tuvo su primera versión en 2.005 y la segunda
en 2.013, con lo cual se establece un ciclo de actualización
de versiones cada 8/9 años.
• Actualmente se encuentra disponible únicamente en
idioma inglés.

8. Estructura
• Contextualiza el valor de la información para las
organizaciones, cómo es alcanzada la seguridad de la
información a través de la implementación de un conjunto
de controles de seguridad, los requerimientos de seguridad
de la información que debe determinar una organización, la
determinación de controles para proteger la información,
consideraciones del ciclo de vida de la información (desde
su creación hasta su eliminación) y la relación de esta
norma con otras normas (especialmente de la familia
ISO/IEC 2700).

9. Cláusula 1 – Alcance: indica que este documento está diseñado para que las organizaciones lo
utilicen como referencia para la selección de controles en el proceso de implantación de un
Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001.
Cláusula 2 – Referencias normativas: no hay referencias normativas en esta norma.
Cláusula 3 – Términos, definiciones y términos abreviados: relaciona un conjunto de términos,
definiciones y abreviaturas que aplican en el contexto de esta norma.
Cláusula 4 – Estructura del documento: determina las cláusulas, temas y atributos, y diseño de
estructura de cada control incluido en la norma.
Cláusulas 5 a 8: establece nombre de control, tabla de atributos, propósito, guía de
implementación y otra información (si aplica) para controles de seguridad:
Estructura

10. Estructura
Organizacionales (Cláusula
5).
Personas (Cláusula 6). Físicos (Cláusula 7).
Tecnológicos (Cláusula 8).
Anexo A: Este anexo
proporciona una tabla
para demostrar el uso de
los atributos como forma
de crear diferentes vistas
de los controles.
Anexo B: Correspondencia
entre ISO/IEC 27002:2022
con ISO/IEC 27002:2013
Bibliografía: Relación de
otras normas y
documentos usados en
esta norma.

11. Principales novedades de la
norma ISO 27002:2022
Cambios en controles de seguridad: La norma ISO 27002:2013 contenía 114
controles (divididos en 14 Anexos). La versión 2022 contiene 93 controles:
Controles
Organizativos: 37
controles
Controles de Personas:
8 controles
Controles Físicos: 14
controles
Controles
Tecnológicos: 34
controles
Cambio en el nombre de la norma: Se ha eliminado el término “Código de
prácticas” del nombre de la nueva norma ISO 27002.
Su nombre actual es “Seguridad de la información, ciberseguridad y protección de la privacidad –
Controles de seguridad de la información”, lo cual refleja un contexto más amplio y que incluye ahora
la prevención, detección y respuesta a ciberataques, así como la protección de los datos.

12. Principales novedades de la
norma ISO 27002:2022
• Estructura de atributos de controles: cada uno de los 93
controles contiene una estructura de atributos particular
que determina:
• Tipo de control: atributo para ver los controles desde la perspectiva de
cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de
un incidente de seguridad de la información identificando si es Preventivo,
Detectivo o Correctivo.
• Propiedades de seguridad de la información: atributo para ver los
controles desde la perspectiva de qué características de la información el
control contribuirá a preservar: Confidencialidad, Integridad o
Disponibilidad.

13. Principales novedades de la
norma ISO 27002:2022
• Conceptos de Ciberseguridad: atributo para ver los controles desde la
perspectiva de la asociación de los controles a los conceptos de
ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC
TS 27110 y usado en otros marcos de trabajo como NIST-Cibersecurity
Framework: Identificar, Proteger, Detectar, Responder, Recuperar.
• Capacidades Operativas: atributo para ver los controles desde la
perspectiva del profesional de las capacidades de seguridad de la
información. Los valores de este atributo son:
• Gobernanza,
• Gestión de activos,
• Protección de la información,
• Seguridad de los recursos humanos,
• Seguridad física,

14. Principales novedades de la
norma ISO 27002:2022
• Seguridad de sistemas y redes,
• Seguridad de las aplicaciones,
• Configuración segura,
• Gestión de la identidad y del acceso,
• Gestión de amenazas y vulnerabilidades,
• Continuidad,
• Seguridad de las relaciones con los proveedores,
• Cumplimiento legal,
• Gestión de eventos de seguridad de la información
• Aseguramiento de la información
• Dominios de Seguridad: atributo que permite ver los controles desde la
perspectiva de cuatro dominios de seguridad de la información:
Gobernanza y ecosistema, Protección, Defensa, Resiliencia

15. Ejemplo
Filtrado Web

16. Ejemplo
Filtrado Web

17. Implicaciones frente a la 27001
• Cuando este evento ocurra, las organizaciones certificadas
en ISO 27001:2013 que deseen conservar su certificación
tomando en cuenta el nuevo Anexo, deberán tener en
cuenta lo siguiente:
• Actualizar su proceso de tratamiento de riesgos considerando los nuevos controles
• Actualizar su declaración de aplicabilidad
• Adaptar algunas secciones de sus políticas y procedimientos existentes.
• Adaptar algunas métricas e indicadores de seguridad
• Aquellas organizaciones que no actualicen su SGSI considerando los cambios del
Anexo A, podrán ver revocada su certificación.
• Para realizar dicha actualización, las organizaciones cuentan con un período de
transición que típicamente es de 2 años a partir de la fecha oficial de actualización

18. Gracias
Responsabilidad con pensamiento positivo