INTERPRETACIÓN E IMPLEMENTACIÓN DEL

ESTÁNDAR ISO/IEC 27001:2022

Seguridad de la información, ciberseguridad

y protección de la privacidad. Sistemas de
gestión de seguridad de la información.
Requisitos

Formación 1
 Familia de ISO 27k

La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información.

VOCABULARIO

CERTIFICABLE y
CONTROLES

ESPECIFICAS

METODOS E
INDICADORES

AUDITORIAS Y
ENTIDADES
CERTIFICADORAS

Formación 2
CAPÍTULO 1

Principios fundamentales de Seguridad de la Información

Formación 3
Activos de Información

Activo: Todo lo que tiene valor para la organización (ISO/IEC 27002 3.1.2)

Información: Datos significativos

Tipos de Activos:
• Software
• Computadora, servidor, etc.
• Servicios
• Personas y sus habilidades, certificaciones, etc.
• Intangibles, como su reputación e imagen

Formación 4
 Clasificación de Activos

DATOS DE CARÁCTER PERSONAL DATOS/INFORMACION [D] UBICACIÓN FÍSICA SERVICIOS

[DP] [U] [S]

RED COMUNICACIONES SOFTWARE HARDWARE PERSONAL[

[COM] [SW] [HW] P]

Formación 5
Seguridad de la Información

ISO/IEC 27002, clausula 0.1

Es el conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información.

La seguridad de la información se logra mediante la implementación de un adecuado conjunto de controles,

incluidas políticas, reglas, procesos, procedimientos, estructuras organizativas y funciones de software y
hardware.

Formación 6
Riesgo

• Según el ISO 31000, el riesgo es el efecto de la incertidumbre sobre la consecución de los

objetivos.
• Un riesgo de un proyecto o activo es un evento o condición incierto que, si se produce, tendrá un
efecto positivo o negativo sobre al menos un objetivo del proyecto o activo, como tiempo, coste,
alcance o calidad.

Proceso de Gestión de Riesgo

Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de
comunicación, consulta, contextualización e identificación, análisis, evaluación, tratamiento,
seguimiento y revisión del riesgo (ISO/IEC 27002:2022 3.61)

Formación 7
Riesgo de seguridad de la información

Posibilidad de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos
y cause daño a la organización

Probabilidad × Consecuencia = Nivel de

(Ocurrencia) (Impacto) Riesgo

Formación 8
Sistema de Gestión de Seguridad de la Información

ISO/IEC 27002, clausula 0.1

Es el conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información.

La seguridad de la información se logra mediante la implementación de un adecuado conjunto de controles,

incluidas políticas, reglas, procesos, procedimientos, estructuras organizativas y funciones de software y
hardware.

Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la información de las organizaciones para llegar a los objetivos del negocio.

Nota: Lo que es implementado debe ser controlado y medido, lo que es controlado y medido debe ser
administrado

Formación 9
Requisitos de Seguridad de la Información

ISO/IEC 27002, clausula 0.2

Hay tres fuentes principales de requisitos de seguridad de la información:

➢ la evaluación de los riesgos para la organización, tomando en cuenta la estrategia y los objetivos de
negocio generales de la organización. Esto se puede facilitar o respaldar mediante una evaluación de
riesgos específica para la seguridad de la información. Esto debería resultar en la determinación de los
controles necesarios para garantizar que el riesgo residual para la organización cumpla con sus criterios
de aceptación del riesgo;

➢ los requisitos legales, estatutarios, y contractuales que una organización y sus partes interesadas
(socios comerciales, proveedores de servicios, entre otros) tienen que cumplir y su entorno sociocultural;

➢ el conjunto de principios, objetivos y requisitos de negocio para todos los pasos del ciclo de vida de la
información que una organización ha desarrollado para respaldar sus operaciones.

Formación 10
 Tres Pilares de la Seguridad de la Información

Confidencialidad
Asegurando que sólo quienes
estén autorizados pueden
acceder a la información

Disponibilidad
Asegurando que los usuarios
autorizados tienen acceso
a la información usando lo
requieran.
Integridad
Asegurando que la información
y sus métodos de
proceso son exactos y
completos.

Formación 11
CAPÍTULO 2

Interpretación de la Norma ISO/IEC

27001:2022

Formación 12
ISO/IEC 27001:2022

• Especifica los requerimientos para un SGSI (Clausula 4 a 10)

• Requerimientos (Clausulas) son escritas usando el verbo imperativo “Debe” o “Shall”

su término en ingles

Formación 13
 A

ISO 27001:2022 C
Clausulas D

Plan Do Check Act

4. CONTEXTO DE LA 8. OPERACION 9. EVALUACION DEL 10. MEJORAS
ORGANIZACION 8.1 Planificación y DESEMPEÑO 10.1 No
5. LIDERAZGO control operacional 9.1 Monitoreo, conformidades y
6. PLANIFICACIÓN 8.2 Evaluación de medición, análisis y acción correctiva
7. SOPORTE riesgos de seguridad evaluación 10.2 Mejora continua
de la información 9.2 Auditoría interna
8.3 Tratamiento de 9.3 Revisión por la
riesgos de seguridad gerencia
de la información

Formación 14
4. Contexto de la Organización
Definición de un SGSI
Clausula 4.1- 4.4
4.1 Entender la organización
y su contexto
4.2 Entender las
4.3 Determinar el 4.4 Sistema de
necesidades y
ámbito de aplicación gestión de seguridad
expectativas de las
del SGSI de la información
partes interesadas
c) cuáles de estos requisitos se abordarán mediante el
sistema de gestión de seguridad de la información.
Formación 15
Determinar el Alcance, 4.3

4.1 + 4.2 = 4.3

Considerar:
las interfaces y dependencias entre actividades realizadas
por la organización y las que son realizadas por otras
organizaciones.

Formación 16
Definir el alcance y exclusiones
ISO 27001, Clausula 4.3 - 6.1.3 d
La organización y sus interesados

Toda la organización

Un Departamento

Un proceso clave

Formación 17
Ejemplo de Alcance del SGSI

El XYZ, considerando los factores internos y externos, las partes interesadas y sus expectativas, ha definido el
alcance del SGSI en:

Proceso A Proceso B Proceso C

Desde sus oficinas ubicadas en DD y EE

Formación 18
Sistema de Gestión de Seguridad de la Información

4.4 Sistema de gestión

de seguridad de la
información

La organización debe establecer, implementar,

mantener y mejorar continuamente un
sistema de gestión de seguridad de la información,
incluyendo los procesos necesarios y sus
interacciones, de acuerdo con los requisitos de este
estándar.

Formación 19
 Taller 01
Determine el Contexto de la
Organización y sus partes
interesadas.
5. Liderazgo y Compromiso
Clausula 5.1

1 2 3
Orientación estratégica Hacer recursos disponibles Comunicación
Asegurar que el SGSI es La dirección debe La dirección debe
compatible con la determinar y proveer los comunicar la importancia
orientación estratégica de recursos necesarios para el efectiva del SGSI y la
la organización SGSI conformidad con sus
Integrar los procesos procesos
requerimientos del SGSI a
los procesos del negocio
de la organización

Formación 21
Política de Seguridad de la Información

Clausula 5.2

• La alta gestión debe establecer una política de seguridad de la información que:

• Sea apropiada a los propósitos de la organización
• Provea un marco para definir los objetivos de seguridad de la información
• incluya el compromiso de satisfacer los requisitos aplicables relacionados a
• la seguridad de la información;
• Incluya un compromiso para la mejora continua del SGSI

• La política del SGSI debe:

• Estar disponible como información documentada
• Ser comunicada dentro de la organización
• Estar disponible para las partes interesadas, según corresponda

Formación 22
Ejemplo de Política de Seguridad de la Información

«La empresa XYZ considera a la información como un activo de vital importancia y el

aseguramiento de la confidencialidad, disponibilidad e integridad como primordial para realizar con
normalidad sus operaciones y actividades institucionales. Por tanto establece los mecanismos para
su protección en los medios de soporte, comunicación y tratamiento de todo tipo de amenazas,
sean internas o externas, deliberadas o accidentales.

La empresa XYZ garantiza el apoyo al proceso de planificación, implementación, revisión y mejora

del Sistema de Gestión de la Seguridad de la Información, asumiendo con ello, el compromiso de
proteger los recursos de información.

La empresa XYZ establece los mecanismos para respaldar la difusión y actualización, tanto de la
presente política como de los demás componentes del Sistema de Gestión de Seguridad de la
Información»

Formación 23
Roles, responsabilidades y autoridades organizacionales

Clausula 5.3

La alta gestión debe debe asegurar que las responsabilidades y la autoridad para los
roles relevantes a la seguridad de la información estén asignadas y comunicadas.

Formación 24
6. Planificación

Acciones para abordar los riesgos y las oportunidades

Clausula 6.1.1

Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar

los asuntos referidos en el numeral 4.1 y los requisitos referidos en el numeral 4.2 y determinar los
riesgos y oportunidades que necesitan ser tratados para:
• asegurar que el sistema de gestión de seguridad de la información pueda lograr los resultados
esperados;
• prevenir, o reducir, efectos indeseados; y
• lograr la mejora continua.

La organización debe planificar:

• acciones que traten estos riesgos y oportunidades
• evaluar la eficacia de estas acciones

Formación 25
6. Planificación

Evaluación de riesgos de seguridad de la información

Clausula 6.1.2

01 02 03

Definir un Determinar los Determinar los criterios

proceso criterios de de evaluación de riesgos
aceptación

Formación 26
Identificar, analizar y evaluar el Riesgo
Clausula 6.1.2 c
Identificar las amenazas Identificar vulnerabilidades

1 2 3 4 5

Identificar los activos Identificar los controles existentes Identificar las consecuencias

Clausula 6.1.2 d, e
Evaluación de las probabilidad
consecuencias Evaluar riesgos

1 2 3 4

Evaluación de las posibles Determinar los niveles de riesgo

consecuencias

Formación 27
 Opciones de tratamiento del riesgo
Clausula 6.1.3 a

Simplemente
acepta la pérdida
probable y se Asumir el
elabora planes de riesgo Reduce su efecto a través del traspaso de las
contingencia para pérdidas a otras organizaciones, como en el caso
su manejo. de los contratos de seguros o a través de otros
Compartir el medios que permiten distribuir una porción del
riesgo riesgo con otra entidad, como en los contratos a
riesgo compartido.

Implica tomar medidas encaminadas a

disminuir tanto la probabilidad
(medidas de prevención), como el Reducir el
impacto (medidas de protección). La riesgo
reducción del riesgo es probablemente Evitar el Tomar las medidas
el método más sencillo y económico riesgo encaminadas a prevenir su
para superar las debilidades antes de materialización.
aplicar medidas más costosas y
difíciles.

Formación 28
Selección de Controles
Clausula 6.1.3 b-c

• Determinar todos los controles necesarios para implementar la opción del tratamiento
de riesgo de seguridad de la información escogida
• Controles seleccionados pueden ser escogidos directamente del Anexo A como
también pueden provenir de otras fuentes
• Comparar los controles determinados en 6.1.3 b) con el anexo A y verificar que los
controles no necesarios han sido omitidos.

Formación 29
Declaración de Aplicabilidad (SOA)
Clausula 6.1.3 d

• Documento que contiene la declaración de los controles necesarios y su justificación

por inclusión en caso hayan sido implementados o no, así como también la
justificación de exclusión de los controles del anexo A.

N° ID CONTROL CONTROL APLICA JUSTIFICACIÓN

1 5.1.1 Políticas de la seguridad de la información

2 5.1.2 Revisión de las políticas de seguridad de la información

3 6.1.1 Funciones y Responsabilidades de la seguridad de la información

4 6.1.2 Segregación de tareas

5 6.1.3 Contacto con las autoridades
6 6.1.4 Contacto con grupos de interés especial

7 6.1.5 Seguridad de la información en la gestión de proyectos

Formación 30
Formular un Plan de Tratamiento del Riesgo
Clausula 6.1.3

• Un plan de tratamiento del riesgo tiene que ser formulado. El propósito del plan es
documentar como las opciones de tratamiento serán implementadas
• Debería incluir lo siguiente:
• Acción propuesta
• Control o controles de seguridad de la información
• Los responsables de la implementación
• Requerimiento de recursos
• Tiempo y programación

Formación 31
Aprobar el riesgo residual
Clausula 6.1.3 f

Riesgo -
Riesgo Riesgo
inherente Tratado Residual

• Aprobación del propietario del riesgo del plan de tratamiento y riesgo residual

ISO/IEC 27003, Clausula 8.4

Posible evidencia de la aprobación de la gerencia
• Resolución del directorio o comité directivo
• Carta oficial
• Registro de la revisión de la gestión

Formación 32
 Taller 02
Identifique riesgos de
seguridad de la información.
Objetivos de seguridad de la información y su planificación

Clausula 6.2

La organización debe establecer los Objetivos de la seguridad de la información (consistentes con la

política de seguridad de la información), ser medibles, ser objeto de seguimiento, ser comunicados,
actualizarse según corresponda.

Así mismo deberá de planificar cómo va alcanzar sus objetivos y debe determinar:

Formación 34
Planificación de cambios

Clausula 6.3

Cuando la organización determina la necesidad de cambios en el sistema de gestión de la seguridad de la

información, los cambios deben ser llevados a cabo de manera planificada.

Formación 35
 Taller 03
Establezca una política de
seguridad y los Objetivos de
seguridad de la información
7. Soporte
Clausula 7

Recursos Competencia Toma de conciencia Comunicación Documentación

La Organización La organización Las personas que La organización El SGSI debe incluir
debe determinar y debe asegurar trabajan en los debe establecer, información
proveer los recursos contar con personas controles de la implementar y documentada
necesarios para el competentes para organización deben ser mantener requerida por el ISO
SGSI realizar tareas educados en la política disposición para 27001 y evidencia
relacionadas al SGSI de SI, sus roles en el comunicarse con las para demostrar la
SGSI y los partes interesadas efectividad
requerimientos de la internas y externas
organización

Formación 37
Información Documentada
Clausula 7.5

3. Clasificación y
1. Creación 2. Identificación 4. Modificación
Seguridad

5. Aprobación 6. Distribución 7. Uso Adecuado 8. Archivado

9. Disposición

Formación 38
8. Operaciones
Planificación y control operacional
Clausula 8.1
La Organización deber planificar, implementar y controlar los procesos necesarios para cumplir con los
requisitos e implementar las acciones determinadas en el capítulo 6, para:
• establecer criterios para los procesos;
• implementar el control de los procesos de acuerdo con los criterios.

La información documentada debe estar disponible en la extensión necesaria para tener confianza en que
los procesos se han llevado a cabo según lo planeado.

La organización debe controlar los cambios planeados y revisar las consecuencias de cambios no
intencionados, actuando para mitigar cualquier efecto adverso, según sea necesario.

La organización debe asegurar que los procesos, productos o servicios provistos de forma externa que
son pertinentes para el sistema de gestión de seguridad de la información, son controlados.

Formación 39
8. Operaciones

Evaluación de riesgos de seguridad de la información y Tratamiento de riesgos

de seguridad de la información
Clausula 8.2 y 8.3

• La organización debe realizar evaluaciones de riesgos de seguridad de la información en

intervalos planificados o cuando cambios significativos se propongan u ocurran, tomando en
cuenta los criterios establecidos en 6.1.2 a).
• La organización debe implementar el plan de tratamiento de riesgos de seguridad de la
información.

Formación 40
9. Evaluación del desempeño

Seguimiento, Medición, análisis y evaluación

Clausula 9.1

• a qué se necesita hacer seguimiento y ser medido, incluyendo procesos y

controles de seguridad de la información;
• los métodos de seguimiento, medición, análisis y evaluación, según sea
aplicable, para asegurar resultados válidos. Los métodos seleccionados
deberían producir resultados comparables y reproducibles para ser
considerados válidos;
• cuando se debe realizar el seguimiento y medición;
• quién debe realizar el seguimiento y medición;
• cuando los resultados del seguimiento y medición deben ser analizados y
evaluados;
• quién debe analizar y evaluar estos resultados.

Formación 41
Auditorias Internas del SGSI
Clausula 9.2

• La organización debe conducir auditoría internas de SGSI en intervalos regulares

• Un programa de auditoría debe ser planeado teniendo en cuenta la importancia de los procesos y
alcance de auditoría, así como los resultados de una auditoría previa
• seleccionar a los auditores y conducir auditorías que aseguren objetividad e imparcialidad del
proceso de auditoría;

Formación 42
Revisión por la Dirección
Clausula 9.3

La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a

intervalos planificados para asegurar su conveniencia, adecuación y eficacia continua.

a) el estado de las acciones de las revisiones por la dirección anteriores;

b) cambios en asuntos externos e internos que son relevantes al sistema de gestión de seguridad de la
información;
c) cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el
sistema de gestión de seguridad de la información;
d) retroalimentación sobre el desempeño de seguridad de la información (no conformidades y acciones
correctivas, resultado del seguimiento y medición, resultados de auditoría, cumplimiento de objetivos)
e) retroalimentación de partes interesadas;
f) resultados de la evaluación de riesgo y estado del plan de tratamiento de riesgos; y
g) oportunidades para la mejora continua

Formación 43
 Taller 04
Establezca indicadores del
SGSI
Mejora
Clausula 10.1 Mejora Continua

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI

Formación 45
Mejora
Clausula 10.2 No conformidad y acción correctiva

Cuando ocurre una no conformidad, la organización debe:

• Reaccionar a la no conformidad
• Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidades, a fin
de que no se repita
• Implementar cualquier acción necesaria;
• Revisar la eficacia de las medidas correctivas adoptadas
• Realizar los cambios necesarios en el SGSI

Formación 46
ISO/IEC 27002:2022

27002:2022
Documento de Controles de seguridad
de la información

Proporciona una lista de controles de

Seguridad reconocidos en la industria,
brinda asesoramiento especifico y guía para
la aplicación de las mejores practicas de
controles.
Seguridad de la Información,
ciberseguridad y protección de la
privacidad – Controles de seguridad de
la información

Cláusulas escritas utilizando el verbo

“debería”

Norma NO CERTIFICABLE

Formación 47
Estructura
1. Alcance
2. Referencias normativas
3. Términos, definiciones, abreviaturas
4. Estructura del documento
5. Controles Organizacionales
6. Controles de Personas
7. Controles Físicos
8. Controles Tecnológicos
Anexo A
Anexo B
Documento que provee referencias de
controles genericos de seguridad de la
información
No hay referencias
Terminología (3.1) y abreviaturas (3.2)
Determina las cláusulas, temas y atributos, y
diseño de estructura de cada control incluido
en la norma.
37 controles de gestión organizacional
08 controles sobre los recursos humanos
14 controles de seguridad física
34 controles de seguridad tecnológica
Matriz de los 93 controles y sus atributos
Correspondencia con la ISO/IEC 27002:2013
Formación 48
Principales cambios

Los principales cambios frente a la versión anterior son:

Cambio en el nombre de la norma: Se ha eliminado el

término “Código de prácticas”. Su nombre actual es “Seguridad
de la información, ciberseguridad y protección de la
privacidad – Controles de seguridad de la información”, lo
cual refleja un contexto más amplio y que incluye ahora la
prevención, detección y respuesta a ciberataques, así como la
protección de los datos

Formación 49
Principales cambios

Cambios en controles de seguridad: La norma ISO/IEC 27002:2013 contenía 114 controles

(divididos en 14 capitulos y en 35 objetivos de control).

La versión 2022 contiene 93 controles, de los cuales:

➢ Introducción de 11 nuevos controles
➢ Fusión de 57 controles anteriores en 24 actuales
➢ Mantenimiento de 58 controles anteriores.

Este nuevo enfoque conlleva también la desaparición del concepto “objetivo de control”,
aunque se incluye un atributo que permite la clasificación específica del control en uno o más
de 15 categorías establecidas.

Formación 50
Principales cambios

Introducción de 11 nuevos controles:

➢ 5.7 Inteligencia de Amenazas

➢ 5.23 Seguridad de la información para el uso de servicios en la nube
➢ 5.30 Preparación de las TIC para la continuidad del negocio
➢ 7.4 Monitoreo de la seguridad física
➢ 8.9 Gestión de la configuración
➢ 8.10 Eliminación de la información
➢ 8.11 Enmascaramiento de datos
➢ 8.12 Prevención de la fuga de datos
➢ 8.16 Monitoreo de actividades
➢ 8.23 Filtrado Web
➢ 8.28 Codificación Segura

Formación 51
Principales cambios
Fusion de los 57 controles a 24 controles:

➢ 5.1.1 (Políticas para la seguridad de la información) y 5.1.2 (Revisión de las políticas para la seguridad
de la información) se fusionan en el control 5.1 de políticas de seguridad de la información.

➢ 6.2.1 (Política de dispositivos móviles) y 11.2.8 (Equipo de usuario desatendido) se funcionan en el

control 8.1 Dispositivos de punto final del usuario.

➢ 8.1.1 (Inventario de activos) y 8.1.2 (Propiedad de los activos) se fusionan en el control 5.9 de
Inventario de información y otros activos asociados.

➢ 8.1.3 (Uso aceptable de los activos) y 8.2.3 (Manipulado de la información) se fusionan en el control
5.10 Uso aceptable de la información y activos asociados.

➢ 8.3.1 (Gestión de soportes extraíbles), 8.3.2 (Eliminación de soportes) y 8.3.3 (Soportes físicos en
tránsito) se fusionan en el control 7.10 Medios de Almacenamiento.

➢ 9.1.1 (Política de control de acceso) y 9.1.2(Acceso a las redes y a los servicios de red) se fusionan en el
control 5.15 Control de Accesos.

Formación 52
Principales cambios
➢ 9.2.4 (Gestión de la información secreta de autenticación de los usuarios), 9.3.1 (Uso de la información
secreta de autenticación) y 9.4.3 (Restricción del acceso a la información) se fusionan en el control 5.17
de Autenticación de información.

➢ 9.2.2 (Provisión de acceso de usuario) y 9.2.5 (Revisión de los derechos de acceso de usuario), 9.2.6
(Retirada o reasignación de los derechos de acceso) se fusionan en el control 5.18 de Derechos de
Acceso.

➢ 10.1.1 (Política de uso de los controles criptográficos) y 10.1.2 (Gestión de claves) se fusionan en el
control 8.24 Uso de Criptografía.

➢ 11.1.2 (Controles físicos de entrada) y 11.1.6 (Áreas de carga y descarga) se fusionan en el control 7.2
Controles de entrada física.

➢ 12.1.4 (Separación de los recursos de desarrollo, prueba y operación) y 14.2.6 (Entorno de desarrollo
seguro) se fusionan en el control 8.31 Separación de ambientes de desarrollo, prueba y producción.

➢ 12.4.1 (Registro de eventos), 12.4.2(Protección de la información del registro) y 12.4.3 (Registros de

administración y operación) se fusionan en el control 8.15 Registro de Eventos.
Formación 53
Principales cambios
➢ 12.5.1(Instalación del software en explotación) y 12.6.2 (Restricción en la instalación de software) se fusionan
en el control 8.19 Instalación de software en sistemas operativos.

➢ 12.6.1(Gestión de las vulnerabilidades técnicas) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan
en el control 8.8 Gestión de vulnerabilidades técnicas.

➢ 12.1.2 (Gestión de cambios), 14.2.2 (Procedimiento de control de cambios en sistemas), 14.2.3 (Revisión
técnica de las aplicaciones tras efectuar cambios en el sistema operativo) y 14.2.4 (Restricciones a los
cambios en los paquetes de software) se fusionan en el control 8.32 Gestión del Cambio.

➢ 13.2.1 (Políticas y procedimientos de intercambio de información), 13.2.2 (Acuerdos de intercambio de

información), 13.2.3 (Mensajería electrónica) se fusionan en el control 5.14 Transferencia de información.

➢ 14.1.2 (Asegurar los servicios de aplicaciones en redes públicas) y 14.1.3 (Protección de las transacciones de
servicios de aplicaciones) se fusionan en el control 8.26 Requerimientos de seguridad en aplicaciones.

➢ 14.2.8 (Pruebas funcionales de seguridad de sistemas) y 14.2.9 (Pruebas de aceptación de sistemas) se

fusionan en el control 8.29 de Pruebas de seguridad en el desarrollo y aceptación.

Formación 54
 Principales cambios

➢ 15.2.1 (Control y revisión de la provisión de servicios del proveedor) y 15.2.2 (Gestión de cambios en la provisión
del servicio del proveedor) se fusionan en el control 5.22 Monitoreo, revisión y gestión del cambio con
proveedores de servicios.

➢ 16.1.2 (Notificación de los eventos de seguridad de la información) y 16.1.3(Notificación de puntos débiles de la

seguridad) se fusionan en el control 6.8 Reporte de eventos de seguridad de la información.

➢ 17.1.1 (Planificación de la continuidad de la seguridad de la información), 17.1.2 (Implementar la continuidad de

la seguridad de la información) y 17.1.3 (Verificación, revisión y evaluación de la continuidad de la seguridad de
la información) se fusionan en el control 5.29 Seguridad de la Información durante una disrupción.

➢ 18.1.1 (Identificación de la legislación aplicable y de los requisitos contractuales) y 18.1.5 (Regulación de los
controles criptográficos) se fusionan en el control 5.31 Identificación de requerimientos legales,
estatutarios, regulatorios y contractuales.

➢ 18.2.2 (Cumplimiento de las políticas y normas de seguridad) y 18.2.3 (Comprobación del cumplimiento técnico)
se fusionan en el control 5.36 Cumplimiento con políticas y estándares para la seguridad de la
información.

Formación 55
Controles

ISO/IEC 27002, clausula 0.3

Un control se define como una medida que modifica o mantiene el riesgo. Una política de seguridad de la
información, por ejemplo, solo puede mantener el riesgo, mientras que el cumplimiento de dicha política de
seguridad de la información puede modificar el riesgo.

Categorías de controles de acuerdo con la ISO/IEC 27002:

- Organizacionales (capítulo 5)
- Personas (capítulo 6)
- Físicos (capítulo 7)
- Tecnológicos (capítulo 8)

Formación 56
Controles de seguridad

Estructura de atributos de controles: cada uno de los 93 controles contiene una estructura de
atributos particular que determina:

Tipo de Control Propiedades de Conceptos de Capacidades Dominios de

seguridad de la ciberseguridad operacionales seguridad
información
#Preventivo #Confidencialidad #Identificar #Gobernanza #Gobernanza y Eco
#Integridad sistema
#Disponibilidad #Resilencia

Formación 57
Tipos de Controles

ISO/IEC 27002, clausula 4.2

Es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con
respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos
consisten en:
➢ Preventivo (control destinado a prevenir la ocurrencia de un incidente de seguridad de la información)
➢ Detectivo (control que actúa cuando ocurre un incidente de seguridad de la información)
➢ Correctivo (control que actúa después de que ocurre un incidente de seguridad de la información)

Formación 58
Propiedades de seguridad de la información

ISO/IEC 27002, clausula 4.2

Atributo para ver los controles desde la perspectiva de qué características de la información el control
contribuirá a preservar: Confidencialidad, Integridad o Disponibilidad.

Formación 59
Conceptos de Ciberseguridad

ISO/IEC 27002, clausula 4.2

Es un atributo para ver los controles desde la perspectiva de la asociación de los controles con los conceptos
de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110 y usado en otros
marcos de trabajo como NIST-Cibersecurity Framework. Los valores del atributo consisten en:

➢ Identificar
• Hacer una lista de todos los equipos, software y datos que se utilicen.

➢ Proteger
• Controlar quiénes acceden a su red y utilizar sus computadores y otros dispositivos.
• Utilizar programas de seguridad para proteger los datos.
• Codificar los datos delicados, tanto cuando estén almacenados o en tránsito.
• Hacer copias de seguridad de los datos con regularidad.
• Actualizar programas de seguridad con regularidad, en lo posible, automatizar las actualizaciones.
• Capacitar sobre ciberseguridad a todas las personas que utilizan sus ordenadores, dispositivos y
redes.

Formación 60
Conceptos de Ciberseguridad
ISO/IEC 27002, clausula 4.2

➢ Detectar
• Monitoree sus computadoras para controlar si detecta acceso de personal no autorizado a sus
dispositivos y software.
• Revisar su red para controlar si detecta usuarios o conexiones no autorizados.
• Investigar cualquier actividad inusual en su red o por parte de su personal.

➢ Responder
• Notificar a los clientes, empleados y otros cuyos datos pueden estar en riesgo.
• Mantener en funcionamiento las operaciones del negocio.
• Reportar el ataque a los encargados del cumplimiento de la ley y otras autoridades.
• Investigar y contener un ataque.
• Actualizar la política y el plan de ciberseguridad con las lecciones aprendidas.

➢ Recuperar (después de un ataque)

• Reparar y restaurar los equipos y las partes de su red que resultaron afectados.
• Mantenga informados a sus empleados y clientes de sus actividades de respuesta y recuperación.

Formación 61
 Capacidades operacionales
ISO/IEC 27002, clausula 4.2

Es un atributo usado cuando la organización requiere una clasificación de controles desde una perspectiva
práctica, por ejemplo, cuando la organización quiere asignar responsabilidades o establecer lineamientos de
implementación.

✓ Gestión de la identidad y del acceso

✓ Gobernanza ✓ Gestión de amenazas y
✓ Gestión de activos vulnerabilidades
✓ Protección de la información ✓ Continuidad
✓ Seguridad de los recursos humanos ✓ Seguridad de las relaciones con los
✓ Seguridad física proveedores
✓ Seguridad de sistemas y redes ✓ Cumplimiento legal
✓ Seguridad de las aplicaciones ✓ Gestión de eventos de seguridad de la
✓ Configuración segura información
✓ Aseguramiento de la información

Formación 62
Dominios de seguridad
ISO/IEC 27002, clausula 4.2

Es un atributo usado en el caso que la organización quiera clasificar sus controles desde una perspectiva del
campo de aplicación de la seguridad de la información y ciberseguridad, su expertise, servicios y productos
relacionados, estos son

Gobernanza y ecosistema, incluye “Gobernanza de la seguridad en sistemas de información y gestión del

riesgo” y “Gestión del ecosistema de ciberseguridad” (incluyendo partes interesadas internas y externas);

Protección, incluye “Arquitectura segura de T.I.”, “Administración de seguridad T.I.”, Gestión de identidades y
accesos”, “Mantenimiento de la seguridad T.I.” y “seguridad física y del entorno”;

Defensa, incluye “Detección” y “Gestión de incidentes de seguridad en computadoras”;

Resiliencia, incluye “Continuidad de operaciones” y “Gestión de crisis”.

Formación 63
ATRIBUTOS DE CONTROLES

Formación 64
 ISO/IEC 27002:2022
5. Controles organizacionales

5.1 Políticas de Seguridad de la Información

5.2 Roles y responsabilidades de seguridad de la información
5.3 Segregación de funciones
5.4 Responsabilidades de la Dirección
5.5 Contacto con Autoridades
5.6 Contacto con grupos especiales de Interés
5.7 Inteligencia de Amenazas
5.8 Seguridad de la Información en la gestión de proyectos
5.9 Inventario de Información y otros activos
5.10 Uso aceptable de la información y otros activos
5.11 Devolución de activos
5.12 Clasificación de la información
5.13 Etiquetado de la información
5.14 Transferencia de información
5.15 Control de acceso
5.16 Gestión de identidad

Formación 65
 ISO/IEC 27002:2022
5. Controles organizacionales

5.17 Información de autenticación

5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores
5.20 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
5.22 Seguimiento, revisión y gestión de cambios de servicios de proveedores
5.23 Seguridad de la información para el uso de servicios en la nube
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
5.25 Evaluación y decisión sobre eventos de seguridad de la información
5.26 Respuesta a incidentes de seguridad de la información
5.27 Aprendiendo de los incidentes de seguridad de la información
5.28 Recopilación de pruebas
5.29 Seguridad de la información durante la interrupción
5.30 Preparación de las TIC para la continuidad del negocio

Formación 66
 ISO/IEC 27002:2022
5. Controles organizacionales

5.31 Requisitos legales, estatutarios, reglamentarios y contractuales

5.32 Derechos de propiedad intelectual
5.33 Protección de registros
5.34 Privacidad y protección de PII
5.35 Revisión independiente de la seguridad de la información
5.36 Cumplimiento de políticas, normas y estándares de seguridad de la información
5.37 Procedimientos operativos documentados

Formación 67
 Taller 05
¿Cómo implementaria el
control 5.7 Inteligencia de
Amenazas
 ISO/IEC 27002:2022
6. Controles de Personas

6.1 Selección
6.2 Términos y condiciones de empleo
6.3 Concientización, educación y capacitación en seguridad de la información
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo a distancia
6.8 Reporte de eventos de seguridad de la información

Formación 69
 ISO/IEC 27002:2022
7. Controles Físicos

7.1 Perímetros de seguridad física

7.2 Entrada física
7.3 Aseguramiento de oficinas, salas e instalaciones
7.4 Supervisión de la seguridad física
7.5 Protección contra amenazas físicas y ambientales
7.6 Trabajar en áreas seguras
7.7 Escritorio despejado y pantalla despejada
7.8 Ubicación y protección del equipo
7.9 Seguridad de los activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad del cableado
7.13 Mantenimiento de equipos
7.14 Eliminación segura o reutilización de equipos

Formación 70
 ISO/IEC 27002:2022
8. Controles Tecnológicos
8.1 Dispositivos de punto final de usuario
8.2 Derechos de acceso privilegiado
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de la capacidad
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de fuga de datos
8.13 Copia de seguridad de la información
8.14 Redundancia de las instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de seguimiento

Formación 71
 ISO/IEC 27002:2022
8. Controles Tecnológicos
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Seguridad de redes
8.21 Seguridad de los servicios de red
8.22 Segregación de redes
8.23 Filtrado web
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Arquitectura del sistema seguro y principios de ingeniería
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 Separación de los entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de los sistemas de información durante las pruebas de auditoría
Formación 72
 Taller 06
¿Cómo implementaria el
control 8.23 Filtrado web y
8.28 Codificación segura
 ISO/IEC 27002:2022
ANEXO A

La Tabla A.1 contiene una matriz de todos los controles en este documento con sus valores de
atributos datos.

Fuente: NTP ISO/IEC 27002:2022

Formación 74
ISO/IEC 27002:2022
ANEXO B

Fuente: NTP ISO/IEC 27002:2022

Formación 75
Gracias