Professional Documents
Culture Documents
ISO 27002
DOCENTE
INTEGRANTES
2017
Introduccin a la norma ISO 27002 (ISO27002)
La norma ISO 27002 fue publicada originalmente como un cambio de
nombre de la norma ISO 17799 ya existente, un cdigo de prcticas para la
seguridad de la informacin. Bsicamente se describen cientos de posibles
controles y mecanismos de control, que pueden ser implementadas, en
teora, con sujecin a las directrices proporcionadas en la ISO 27001.
La base de la norma fue originalmente un documento publicado por el
gobierno del Reino Unido, que se convirti en un estndar 'adecuado' en
1995, cuando fue re-publicado por BSI como BS7799. En 2000 fue de nuevo
re-public, esta vez por la ISO, como ISO 17799. Una nueva versin de este
apareci en 2005, junto con una nueva publicacin, la norma ISO 27001.
Estos dos documentos estn destinados a ser utilizados en conjunto, con
uno complementando el otro.
En 2013 se public la versin actual. ISO 27002: 2013 contiene 114
controles, en contraposicin a la 133 documentado dentro de la versin
2005. Sin embargo, para granularidad adicional, stos se presentan en
catorce secciones, en lugar de los once originales.
Por ltimo, cabe sealar que a lo largo de los aos se han desarrollado una
serie de versiones especficas de la industria de la norma ISO 27002, o
estn en fase de desarrollo, (por ejemplo: sector de la salud, la fabricacin,
y as sucesivamente).
ISO 27002
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La norma ISO 27002 se encuentra estructurada en 14 captulos que
describen las reas que se deben considerar para garantizar la seguridad de
la informacin de las que se dispone. El documento recomienda un total de
114 controles, si bien no hace falta cumplirlos todos, s que hay que tenerlos
en cuenta y considerar su posible aplicacin, adems del grado de la
misma.
5 Control de acceso
Controlar quien accede a la informacin dentro de un aspecto relevante. Al
fin y al cabo no todas las personas de una organizacin necesitan acceder
para realizar su actividad diarias a todos los datos, sino que tendremos roles
que necesitan un mayor acceso y otros con un acceso mucho ms limitado.
Para poder marcar las diferencias, se deben establecer todos los controles
como registro de los usuarios, gestin de los privilegios de acceso, etc.
siendo algunos de los controles que se incluyen en este apartado.
6 Criptografa
En el caso de que estemos tratando la informacin sensible o crtica puede
ser interesante utilizar diferentes tcnicas criptogrficas para proteger y
garantizar su autenticidad, confidencialidad e integridad.
7 Seguridad fsica y del entorno
La seguridad no es solo a nivel tecnolgico sino tambin fsico, es decir, una
simple labor de no dejar las pantallas e impresoras en zonas que sean
fcilmente accesibles, por parte del personal externo los documentos con
los que se estn trabajando no slo nos permitirn gestionar de forma
adecuada la seguridad sino que se acabarn convirtiendo en hbitos que
nos aportan eficiencia en la gestin.
8 Seguridad de las operaciones
Tiene un marcado componente tcnico entrado en todos los aspectos
disponibles como la proteccin del software malicioso, copias de seguridad,
control de software en explotacin, gestin de vulnerabilidad, etc.
9 Seguridad de las comunicaciones
Partiendo de la base de que la gran mayora de los intercambios de
informacin y de datos en distintas escalas se llevan a cabo mediante las
redes sociales, garantizar la seguridad y proteger de forma adecuada los
medios de transmisin de estos datos clave.
10 Adquisiciones, desarrollo y mantenimiento de los sistemas de
informacin
La seguridad no es un aspecto de un rea en concreto, ni de un
determinado proceso, no que es general, abarca toda la organizacin y tiene
que estar presente como elemento transversal clave dentro del ciclo de vida
del sistema de gestin.
11 Relacin de proveedores
Cuando se establecen las relaciones con terceras partes, como puede ser
proveedores, se deben establecer medidas de seguridad pudiendo ser muy
recomendable e incluso necesario en determinados casos.
12 Gestin de incidentes de seguridad de la informacin
No podemos hablar de controles de seguridad sin mencionar un elemento
clave, los incidentes en seguridad. Y es que, estar preparados para cuando
estos incidentes ocurran, dando una respuesta rpida y eficiente siendo la
calve para prevenirlos en el futuro.
BIBLIOGRAFIA
Dejan Kosutic: Diferencias y similitudes entre ISO 27001 e ISO
27002
https://advisera.com/27001academy/es/knowledgebase/diferen
cias-y-similitudes-entre-iso-27001-e-iso-27002/
The ISO 27000 Directory
http://www.27000.org/iso-27002.htm
El portal de ISO 27002 en Espaol
http://www.iso27000.es/iso27002.html
La norma ISO 27002 complemento para la ISO 27001
http://www.pmg-ssi.com/2016/06/la-norma-iso-27002-
complemento-para-la-iso-27001/
Bsiamericas seguridad en informacin
http://www.bsiamericas.com/Mex+Seguridad+en+Informacion/i
ndex.xalter
ISO 27002. Recuperado el 11/4/2013, de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf