La norma ISO 27002 se encuentra estructurada en 14 capítulos que describen las áreas que se deben considerar para garantizar la seguridad de la información de las que se dispone. El documento recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.
Quizás la mayor diferencia entre el viejo estándar y el nuevo es la estructura.
A continuación, se realiza una breve revisión de cada uno de los 14 capítulos:
1. Políticas de Seguridad de la Información
En ella, se refleja la importancia que ocupa la disposición de una adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal, revisada de forma periódica y actualizada con los cambios que se producen en el interior y en el exterior.
2. Organización de la Seguridad de la Información
Se busca estructurar un marco de seguridad eficiente tanto mediante los roles, tareas, seguridad, etc, como en los dispositivos móviles.
3. Seguridad relativa a los Recursos Humanos
La gran mayoría de los incidentes provocados en las organizaciones tienen su origen en un error humano. Por ello, se debe concienciar y formar al personal del empleo de la información en el desarrollo de las actividades y la importancia que tiene la información en el desarrollo de sus actividades.
4. Gestión de Activos
Se centra en la información como activo y en cómo se deben establecer las medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en la alteración no deseada.
5. Control de Acceso
El control de quién accede a la información es fundamental, dado que no todas las personas de una organización necesitan acceder a ella para realizar su actividad diaria, sino que habrá roles que necesitan un mayor acceso y otros con un acceso mucho más limitado.
6. Criptografía
Para tratar información sensible o crítica es interesante utilizar diferentes técnicas criptográficas para proteger y garantizar su autenticidad, confidencialidad e integridad.
7. Seguridad Física y del Entorno
La seguridad no es solo a nivel tecnológico sino también físico, es decir, no dejar aparatos como por ejemplo, impresoras en zonas que sean fácilmente accesibles a personas externas a la organización.
8. Seguridad de las Operaciones
Tiene un marcado componente técnico centrado en todos los aspectos disponibles como la protección del software malicioso, copias de seguridad, control de software en explotación, gestión de vulnerabilidad, etc.
9. Seguridad de las Comunicaciones
Partiendo de la base de que la gran mayoría de los intercambios de información y de datos en distintas escalas se llevan a cabo mediante las redes sociales, garantizar la seguridad y proteger de forma adecuada los medios de transmisión de estos datos clave.
10. Adquisiciones, Desarrollo y Mantenimiento de los Sistemas de Información
La seguridad no es un aspecto de un área en concreto, ni de un determinado proceso, no que es general, abarca toda la organización y tiene que estar presente como elemento transversal clave dentro del ciclo de vida del sistema de gestión.
11. Relación de Proveedores
Cuando se establecen las relaciones con terceras partes, como puede ser proveedores, se deben establecer medidas de seguridad pudiendo ser muy recomendable e incluso necesario en determinados casos.
12. Gestión de Incidentes de Seguridad de la Información
Es necesario estar preparados para cuando estos incidentes ocurran, dando una respuesta rápida y eficiente siendo la calve para prevenirlos en el futuro.
13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad de Negocio
Sufrir una pérdida de información relevante y no poder recuperarla de alguna forma puede poner en peligro la continuidad de negocio de la organización.
14. Cumplimiento
No podemos hablar de seguridad de la información, sin hablar de legislación, normas y políticas aplicables que se encuentre relacionadas con este campo y con las que conviven en las organizaciones. Debemos tener presente que ocupan un enorme lugar en cualquier sistema de gestión y deben garantizar que se cumple y que están actualizados con los últimos cambios.
DIFERENCIAS ENTRE ISO/IEC 27002:2005 E
ISO/IEC 27002:2013
Quizás la mayor diferencia entre el viejo estándar y el nuevo es la estructura.
ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 ahora tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores (secciones 10, 13 y 15, respectivamente).
Sin embargo, mientras que el nuevo estándar tiene tres secciones más, de hecho es más corto y más centrado que el anterior. El antiguo estándar tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78.
ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas
subsecciones discuten seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), desarrollo seguro (14.2.1), principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguros (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), la evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguridad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. Además, las secciones anteriores sobre cómo organizar la seguridad (6), sobre comunicaciones y operaciones (10), y control de acceso (11) fueron completamente reelaboradas, divididas y trasladadas a otras secciones más adecuadas. Y la vieja sección introductoria 4 sobre la gestión del riesgo se eliminó por completo, presumiblemente porque ISO/IEC 27005 e ISO 31000 ahora discuten esto en detalle y, por lo tanto, ISO/IEC 27002 no necesita cubrir el mismo tema.
También ha habido algunos cambios en la terminología. Privilegios se han convertido en los derechos de acceso privilegiado , la palabra contraseñas ha sido en gran parte reemplazado por la frase secreta información de autenticación , los usuarios de terceros ahora se conocen como externos partido usuarios, el verbo cheque ha sido reemplazado por verificar, código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos, las transacciones en línea ahora se conocen como transacciones de servicios de aplicaciones, etc.
ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas
subsecciones discuten seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), desarrollo seguro (14.2.1), principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguros (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), la evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguridad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. Además, las secciones anteriores sobre cómo organizar la seguridad (6), sobre comunicaciones y operaciones (10), y control de acceso (11) fueron completamente reelaboradas, divididas y trasladadas a otras secciones más adecuadas. Y la vieja sección introductoria 4 sobre la gestión del riesgo se eliminó por completo, presumiblemente porque ISO/IEC 27005 e ISO 31000 ahora discuten esto en detalle y, por lo tanto, ISO/IEC 27002 no necesita cubrir el mismo tema.
También ha habido algunos cambios en la terminología. Privilegios se han convertido en los derechos de acceso privilegiado , la palabra contraseñas ha sido en gran parte reemplazado por la frase secreta información de autenticación , los usuarios de terceros ahora se conocen como externos partido usuarios, el verbo cheque ha sido reemplazado por verificar, código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos, las transacciones en línea ahora se conocen como transacciones de servicios de aplicaciones, etc.
Comentarios
Publicar un comentario