ISO 27001 define el Sistema de Gestión de Seguridad de la Información (SGSI); ISO 27002:2022 es su catálogo de referencia: 93 controles agrupados en organizacionales, personas, físicos y tecnológicos. El error habitual es imprimir la lista y marcar casillas sin vincular cada control a un riesgo, un responsable y una evidencia verificable. SIMFOUR concentra MPD, MPI, canal de denuncias y SGI con evidencia trazable en AWS.
1. ISO 27001 e ISO 27002: roles distintos
ISO 27001 exige contexto, liderazgo, planificación, soporte, operación, evaluación y mejora (estructura de alto nivel compatible con otras normas). ISO 27002 no se certifica sola: orienta cómo implementar controles cuando la evaluación de riesgos lo justifica. La Declaración de Aplicabilidad (SoA) documenta qué controles aplican, por qué se incluyen o excluyen y en qué estado están.
2. Los cuatro temas de la edición 2022
Organizacionales (37 controles): políticas, roles, gestión de activos, control de acceso lógico, proveedores, gestión de incidentes, continuidad y cumplimiento legal. Personas (8): screening, términos de empleo, concienciación y trabajo remoto. Físicos (14): perímetros, equipos y almacenamiento. Tecnológicos (34): cifrado, desarrollo seguro, registros, malware y redes. La numeración cambió respecto a la edición 2013: conviene mapear controles antiguos al nuevo esquema antes de auditar.
3. Priorizar con riesgo, no con miedo
No todos los 93 controles son obligatorios para toda organización. El SGSI parte de activos, amenazas y vulnerabilidades; la SoA explica exclusiones razonadas. Un control omitido sin justificación de riesgo es hallazgo seguro; uno implementado «en papel» sin registro operativo también lo es. La proporcionalidad importa tanto en una PYME como en una filial regulada.
4. Sinergia con MPI, MPD y otras ISO
Muchos controles organizacionales de ISO 27002 coinciden con obligaciones del MPI chileno (inventario de datos, roles, incidentes, proveedores) y con prácticas del MPD (canal de denuncias, capacitación, sanciones). Política de acceso, registro de incidentes y due diligence a terceros pueden documentarse una vez y citarse en la matriz de seguridad, el MPI y la evaluación de compliance. Integrar ISO 9001, 37301 o 37001 en el mismo SGI evita tres carpetas con la misma evidencia en formatos distintos.
5. Evidencia que el auditor puede seguir
Para cada control aplicable: responsable, procedimiento o protocolo versionado, registro de ejecución (lecturas, tareas, tickets), fecha de revisión y mejora si hubo desviación. Señales de alerta: SoA genérica copiada de otra empresa; controles «implementados» sin un solo registro del último año; capacitación masiva días antes de la auditoría; incidentes de seguridad sin investigación trazable.
Cómo responde SIM4 a este escenario
ISO 27002 pide controles proporcionales al riesgo y demostrables en operación. SIMFOUR enlaza matrices de riesgo, documentos controlados, capacitación con acuse, gestión de proveedores, canal de denuncias, plazos e investigaciones en un solo SGI en AWS. La SoA deja de ser una hoja aislada: cada control puede apuntar a registros vivos que el certificador ISO y el evaluador de MPI muestrean sin reconstruir el hilo en correos y planillas.
Agendar demo 30 min · Contáctenos · Cinco ventajas de SIM4 · Artículo relacionado · Artículo relacionado
