Guía completa de las norma ISO 27001 vs 27002

Bienvenidos a esta Guía completa de las norma ISO 27001 vs 27002. Comparte este articulo y síguenos para recibir más capítulos, guías y cursos.

Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Introducción a las Normas ISO 27001 e ISO 27002

ISO 27001 e ISO 27002 son normas internacionales que pertenecen a la familia ISO/IEC 27000, diseñadas para la gestión de la seguridad de la información. Aunque están estrechamente relacionadas, cada una tiene un propósito diferente.A la hora de proteger la información de una organización, las normas ISO 27001 y 27002 son fundamentales, pero tienen objetivos diferentes. Las empresas suelen tener dificultades para elegir entre ellas o para comprender cómo se complementan entre sí. 

A un alto nivel, la norma ISO 27001 se centra en los requisitos para crear un SGSI certificado, mientras que la norma ISO 27002 es una referencia para implementar controles de seguridad sólidos. 

Esta publicación de blog tiene como objetivo aclarar las distinciones críticas y las aplicaciones prácticas de ambos estándares, brindándole la información necesaria para potenciar su estrategia de seguridad de la información.

Conclusiones clave

• La ISO 27001 es un estándar de gestión para establecer un SGSI y puede conducir a la certificación, mientras que la ISO 27002 ofrece pautas detalladas sobre los controles de seguridad sin un proceso de certificación.
• La norma ISO 27001 se centra en el marco más amplio y la evaluación de riesgos para la gestión de la seguridad de la información, mientras que la norma ISO 27002 proporciona asesoramiento detallado sobre la implementación de medidas de seguridad específicas.
• Tanto la norma ISO 27001 como la ISO 27002 pueden implementarse simultáneamente para alinear los controles de seguridad con los objetivos organizacionales y mejorar la gestión de riesgos a pesar de los desafíos que uno pueda enfrentar durante el proceso.

Propósito de Cada Norma

• ISO 27001: Sistema de Gestión de Seguridad de la Información (SGSI)
  • Objetivo: Proporcionar un marco para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
  • Aplicación: Es certificable y establece los requisitos que una organización debe cumplir.
  • Enfoque: Gestión de riesgos y cumplimiento de controles específicos.
• ISO 27002: Código de Buenas Prácticas para Controles de Seguridad
  • Objetivo: Proporcionar directrices y recomendaciones para seleccionar y aplicar controles de seguridad de la información.
  • Aplicación: No es certificable por sí misma, pero complementa ISO 27001 proporcionando detalles sobre los controles.
  • Enfoque: Listado de controles y mejores prácticas para implementar seguridad.

¿Qué es ISO 27001?

La ISO 27001 es una norma reconocida internacionalmente para la gestión de la seguridad de la información. Establece los criterios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Se aplica a cualquier organización internacional que desee mantener su información segura. 

Un SGSI tiene como objetivo ayudar a las organizaciones a gestionar y proteger sus activos de información, garantizando la confidencialidad, integridad y disponibilidad de la información sensible.

La norma ISO 27001 ofrece un enfoque sistemático para gestionar la seguridad de la información, que implica un proceso de gestión de riesgos para identificar, evaluar y tratar los riesgos de seguridad de la información. La norma cubre varios aspectos de la seguridad de la información, entre ellos: 

• Políticas organizacionales
• Seguridad física
• Seguridad de los recursos humanos
• Control de acceso,
• Criptografía y más.

¿Qué es ISO 27002?

Mientras que la norma ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un SGSI, la norma ISO 27002 proporciona un conjunto de directrices y mejores prácticas para implementar los controles especificados en la norma ISO 27001.

A un alto nivel, la norma ISO 27002 proporciona:

• Orientación sobre cómo implementar controles: proporciona orientación detallada sobre la implementación de los objetivos de control descritos en el Anexo A de la norma ISO 27001. El Anexo A es una lista de 114 controles categorizados en 14 secciones, que cubren varios aspectos de la seguridad de la información.
• Mejores prácticas de seguridad de la información: ofrece recomendaciones y mejores prácticas para implementar controles de seguridad en áreas como políticas de seguridad de la información, organización de la seguridad de la información, seguridad de los recursos humanos, seguridad física y ambiental, gestión de comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de sistemas de información, y más.
• Flexibilidad en la implementación: la norma ISO 27002 no es obligatoria, pero está diseñada para ser flexible. Las organizaciones pueden adaptar la guía para que se ajuste a sus necesidades específicas y al entorno de riesgo.
• Mejora continua: alienta a las organizaciones a revisar y actualizar periódicamente sus controles de seguridad de la información para adaptarse a los cambios en la tecnología, las amenazas y el entorno empresarial.

La norma ISO 27002 es un recurso valioso para las organizaciones que buscan implementar los controles descritos en la norma ISO 27001 de manera eficaz. Proporciona consejos prácticos y pautas para ayudar a las organizaciones a establecer un marco de seguridad de la información sólido y completo, alineado con las mejores prácticas internacionales.

Diferencias clave entre ISO 27001 e ISO 27002

Como ya debe estar claro, no se trata tanto de comparar un estándar con el otro, sino de entender cómo uno mejora y promueve al otro. Veamos las diferencias clave entre ambos.

Estado de la certificación

La principal diferencia radica en que la norma ISO 27001 gira en torno a la certificación. Una vez que haya implementado la norma, podrá obtener una certificación oficial que demuestre su cumplimiento.

La obtención de la certificación ISO 27001 implica varios pasos, entre ellos:

• Preparando la organización
• Establecimiento de un marco de gestión
• Implementar procesos y controles de seguridad
• Realización de auditorías internas
• Realizar una revisión por la dirección
• Realizar una auditoría con un organismo rector acreditado según la norma ISO 27001

Si completa estos pasos, su organización podrá cumplir con la certificación ISO 27001. Una vez que cruce la línea de meta, tendrá una certificación que no solo mejorará su reputación, sino que también mejorará sus conexiones comerciales y protegerá sus datos.

Profundidad de detalle

La profundidad del detalle es otra diferencia clave entre ISO 27001 e ISO 27002. 

Si bien la norma ISO 27001 proporciona un marco general para gestionar la seguridad de la información, la norma ISO 27002 va un paso más allá al ofrecer una guía más detallada sobre la implementación de controles de seguridad específicos dentro de ese marco.

Considere la norma ISO 27001 como la columna vertebral, que proporciona la estructura y las mejores prácticas para una seguridad de la información sistemática y rentable. La norma ISO 27002, por otro lado, es el músculo que aporta fuerza a la estructura, ofreciendo asesoramiento detallado sobre la elección de controles de seguridad de la información. Juntos, forman un SGSI sólido.

Enfoque de evaluación de riesgos

La norma ISO 27001 exige una evaluación de riesgos para identificar amenazas a la seguridad como parte del proceso de certificación . Una auditoría interna puede confirmar que su proceso de evaluación de riesgos es exhaustivo y eficaz.

Por otra parte, la norma ISO 27002 no exige una evaluación de riesgos, sino que proporciona una guía detallada para implementar controles de seguridad sin necesidad de certificación.

---

---

Aplicabilidad a las organizaciones

La ISO 27001 es una norma que puede ser implementada por cualquier organización, independientemente de su sector. Proporciona un marco para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) certificado que se puede personalizar según las necesidades específicas de una empresa. Establece una directiva clara para que las organizaciones realicen una evaluación de riesgos con el objetivo de identificar y clasificar las amenazas a la seguridad de la información.

Por otra parte, la norma ISO 27002 no incluye este requisito, por lo que, si nos basamos únicamente en la norma ISO 27002, determinar qué controles implementar sería un desafío considerable.

Principales Diferencias

Característica	ISO 27001	ISO 27002
Propósito	Sistema de Gestión de Seguridad de la Información	Código de Buenas Prácticas de Controles
Certificable	Sí	No
Enfoque Principal	Gestión de riesgos, planificación, implementación	Implementación de controles específicos
Detalles Técnicos de Controles	Breve	Extenso y detallado
Actualización y Adaptabilidad	Marco general y flexible	Detallado pero específico
Estructura	Requisitos obligatorios	Guía opcional

Similitudes Clave

• Familia ISO/IEC 27000: Ambas normas forman parte del mismo conjunto de estándares internacionales de seguridad.
• Seguridad de la Información: Están diseñadas para proteger la confidencialidad, integridad y disponibilidad de la información.
• Controles de Seguridad: ISO 27001 hace referencia a los controles de ISO 27002 como parte del Anexo A.

Detalle de la Relación

• ISO 27001 establece que las organizaciones deben implementar controles, pero no entra en detalles técnicos. En su lugar, recomienda ISO 27002 como referencia para seleccionar controles específicos.
• ISO 27002 proporciona la explicación y guía detallada de cómo implementar cada control listado en el Anexo A de ISO 27001.

Estructura de las Normas

ISO 27001

1. Contexto de la organización
2. Liderazgo
3. Planificación
4. Apoyo
5. Operación
6. Evaluación del desempeño
7. Mejora continua
8. Anexo A: Controles de seguridad (Referidos a ISO 27002)

ISO 27002

1. Políticas de seguridad de la información
2. Organización de la seguridad de la información
3. Gestión de activos
4. Control de accesos
5. Criptografía
6. Seguridad física y ambiental
7. Seguridad de operaciones
8. Seguridad de las comunicaciones
9. Adquisición, desarrollo y mantenimiento de sistemas
10. Relación con proveedores
11. Gestión de incidentes de seguridad
12. Continuidad del negocio
13. Cumplimiento

¿Cuándo se debe utilizar cada norma?

Al decidir qué estándar emplear, su organización evalúa los requisitos únicos de cada uno y su alineación con los objetivos de su proyecto. 

Si se encuentra en las primeras etapas de implementación de la Norma o de diseño del marco de implementación de su SGSI , la ISO 27001 es su mejor opción. Esta norma sirve como hoja de ruta para guiarlo a través del proceso de configuración de un SGSI certificado.

Una vez que haya determinado los controles que implementará en su SGSI, puede que sea el momento de recurrir a la norma ISO 27002. Esta norma actúa como un manual detallado que proporciona una guía detallada sobre el funcionamiento de cada control, garantizando así una postura de seguridad sólida y eficaz. Dicho esto, existe la oportunidad de que ambas se complementen y se completen en conjunto en lugar de individualmente, teniendo en cuenta que la ISO 27001 es una certificación de 3 años. Si no está seguro de cuál es el mejor camino a seguir para su organización, siempre puede comunicarse con uno de nuestros expertos para obtener orientación.

Cuál Implementar Primero

• ISO 27001 es el punto de partida, ya que establece el marco general y permite que una organización obtenga certificación.
• ISO 27002 debe implementarse de forma paralela o después, como una guía práctica para aplicar controles concretos.

Implementación conjunta de ISO 27001 e ISO 27002

Uno podría preguntarse: “¿Es posible implementar las normas ISO 27001 e ISO 27002 al mismo tiempo?”. ¡La respuesta es sí! De hecho, implementar ambas normas juntas puede ayudar a alinear los controles de seguridad con los objetivos de la organización y mejorar la gestión de riesgos.

Implementación eficaz simplificada

La implementación de las políticas ISO 27001 es un paso fundamental para mejorar la seguridad de la información de su organización y demostrar el cumplimiento de las normas internacionales. 

Al comprender el propósito y los beneficios de estas políticas, desarrollarlas e implementarlas de manera eficaz y abordar los desafíos comunes, su organización puede aprovechar el poder de las políticas ISO 27001 para mejorar la seguridad.

Recuerde, un entorno empresarial seguro y compatible no solo es beneficioso para su organización, sino también para sus clientes y las partes interesadas que depositan su confianza en usted.

Beneficios de Implementar Ambas

• ISO 27001: Permite a las organizaciones demostrar su compromiso con la seguridad y obtener una ventaja competitiva en el mercado.
• ISO 27002: Mejora la efectividad del SGSI, asegurando que los controles sean prácticos, actualizados y alineados con las mejores prácticas.

Para una gestión integral de la seguridad de la información, ISO 27001 proporciona el marco general, mientras que ISO 27002 detalla cómo implementar controles específicos. Trabajar con ambas normas permite a las organizaciones proteger mejor su información y asegurar la continuidad del negocio.

Más preguntas frecuentes

¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

La norma ISO 27001 es la norma para la gestión de la seguridad de la información, mientras que la norma ISO 27002 es una norma complementaria que proporciona directrices para la implementación de controles de seguridad de la información. Recuerde que solo las normas que terminan en “1” pueden certificarse.

¿Cuál es la diferencia entre ISO 27003 y 27002?

La principal diferencia entre ISO 27003 y 27002 es que ISO 27002 se centra en la implementación de controles para el tratamiento de riesgos de seguridad de la información, mientras que ISO 27003 ofrece una guía más amplia sobre los requisitos generales para un SGSI basado en ISO 27001.

¿Cuál es el propósito de la norma ISO 27002?

La ISO 27002 es una norma de seguridad de la información que permite a las organizaciones implementar controles de seguridad de la información y desarrollar un sistema de gestión de seguridad de la información. Proporciona las mejores prácticas reconocidas internacionalmente para la implementación de SGSI. Es esencial para las organizaciones que buscan establecer y mejorar su Sistema de Gestión de Seguridad de la Información (SGSI) para la ciberseguridad.

¿Cuándo debo utilizar la norma ISO 27001?

Debe utilizar la norma ISO 27001 cuando desee establecer un sistema de gestión de seguridad de la información (SGSI) y obtener la certificación de cumplimiento. Es un marco valioso para proteger la información confidencial.

¿Puedo utilizar ISO 27001 e ISO 27002 juntas?

Sí, el uso conjunto de las normas ISO 27001 e ISO 27002 puede ayudar a alinear los controles de seguridad con los objetivos organizacionales y mejorar la gestión de riesgos. Es una excelente manera de garantizar medidas de seguridad integrales.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

• La mejor forma de Aprender Hacking y Ciberseguridad en 2025
• Lo que tienes que saber antes de empezar tu vida de hacker
• Habilidades y Competencias que debe tener un Hacker Profesional
• El Camino del Hacker – Las 3 etapas de una carrera exitosa
• Inicia tu carrera como Hacker – GENERAL CYBER SECURITY
• Qué es Realmente el Hacking y Cómo Puedo Trabajar Legalmente
• Tipos de Hackers y Teams
• Cómo Iniciarse en Hacking y Redes en 2025
• Hardware para Hacking de Redes
• Cómo Iniciarse en Hacking y Linux en 2025
• Cómo Iniciarse en Hacking y Programación en 2025
• Python para hackers en 2025
• Cómo Aprender Inglés para Hackers: Guía Definitiva 2025
• Arma tu PC ideal para Hacking en 2025
• Cómo crear un Laboratorio de Hacking en 2025
• Las 500 Mejores Herramientas para Hackers
• Cómo obtener Práctica como Hacker en 2025
• Cómo Iniciarse en CTF en 2025 y Aprender a Hackear practicando
• Mas de 100 Webs de CTF para Practicar hacking en 2025
• Cómo Obtener tus Primeras Certificaciones en 2025
• Las 10 Mejores Certificaciones de Hacking en 2025
• IA y Hacking en 2025
• OSINT en 2025 Guía Definitiva
• Hardware para Hackers en 2025
• Guia Definitiva de Flipper Zero
• Cómo Iniciarse como Pentester en 2025
• Iniciarse como Pentester en 2025 – Reconocimiento y Enumeración
• Cómo Identificar Sistemas Vulnerables y Recopilar información
• Explotación de Vulnerabilidades con Metasploit
• Post Explotación, Pivoting y Movimiento Lateral
• Reporte del Pentest, Remediación y Seguimiento
• Inicia en hacking y ciberseguridad como analista SOC en 2025
• Cómo Conseguir Trabajo de Hacker en 2025
• Como Iniciarse en Bug Bounty en 2025
• Cómo Aumentar tu Salario Pasando de Hacker Jr a Sr
• Cómo Avanzar en tu Carrera de Hacker y llegar a ser CISO
• SIGUE APRENDIENDO EN NUESTRO BLOG
  

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

• LinkedIn
• Twitter
• Telegram
• Instagram

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.