UNIVERSIDAD PERUANA DE LAS AMERICAS

FACULTAD DE INGENIERIA DE COMPUTACION Y SISTEMAS

ISO 27002

DOCENTE

TOLEDO ALLER, LOURDES HILDA

INTEGRANTES

COLLAHUACHO GMEZ, RICARDO ERICK

ROSSI PUCAR, JOS LUIS

2017
Introduccin a la norma ISO 27002 (ISO27002)
La norma ISO 27002 fue publicada originalmente como un cambio de
nombre de la norma ISO 17799 ya existente, un cdigo de prcticas para la
seguridad de la informacin. Bsicamente se describen cientos de posibles
controles y mecanismos de control, que pueden ser implementadas, en
teora, con sujecin a las directrices proporcionadas en la ISO 27001.
La base de la norma fue originalmente un documento publicado por el
gobierno del Reino Unido, que se convirti en un estndar 'adecuado' en
1995, cuando fue re-publicado por BSI como BS7799. En 2000 fue de nuevo
re-public, esta vez por la ISO, como ISO 17799. Una nueva versin de este
apareci en 2005, junto con una nueva publicacin, la norma ISO 27001.
Estos dos documentos estn destinados a ser utilizados en conjunto, con
uno complementando el otro.
En 2013 se public la versin actual. ISO 27002: 2013 contiene 114
controles, en contraposicin a la 133 documentado dentro de la versin
2005. Sin embargo, para granularidad adicional, stos se presentan en
catorce secciones, en lugar de los once originales.
Por ltimo, cabe sealar que a lo largo de los aos se han desarrollado una
serie de versiones especficas de la industria de la norma ISO 27002, o
estn en fase de desarrollo, (por ejemplo: sector de la salud, la fabricacin,
y as sucesivamente).
ISO 27002
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La norma ISO 27002 se encuentra estructurada en 14 captulos que
describen las reas que se deben considerar para garantizar la seguridad de
la informacin de las que se dispone. El documento recomienda un total de
114 controles, si bien no hace falta cumplirlos todos, s que hay que tenerlos
en cuenta y considerar su posible aplicacin, adems del grado de la
misma.

Los 14 captulos del ISO 27002:

1 Polticas de Seguridad de la Informacin
Dentro de este captulo se hace hincapi en la importancia que ocupa la
disposicin de una adecuada poltica de seguridad, aprobada por la
direccin, comunicada a todo el personal, revisada de forma peridica y
actualizada con los cambios que se producen en el interior y en el exterior.
2 Organizacin de la Seguridad de la Informacin
Los controles indicados en este captulo buscan estructurar un marco de
seguridad eficiente tanto mediante los roles, tareas, seguridad, etc. como
en los dispositivos mviles.
Tenemos que tener presente que cada vez es mayor el peso que est
ocupando el teletrabajo dentro de las empresas, y por ello, se deben tener
en cuenta todas sus caractersticas especiales para que ningn momento la
seguridad de la informacin de la que se dispone se vea afectada.
3 Seguridad relativa a los recursos humanos
Si analizamos los incidentes de seguridad que se producen en una
organizacin nos daremos cuenta de que la gran mayora de estos tienen su
origen en un error humano. Se debe concienciar y formar al personal de los
trminos de empleo de la informacin en el desarrollo de sus actividades y
la importancia que tiene la informacin en el desarrollo de sus actividades,
adems de la importancia que tiene promover, mantener y mejorar el nivel
de seguridad adecundolo a las caractersticas de los datos y la informacin
que maneja es clave y uno de los objetivos que se debe perseguir.
4 Gestin de activos
Se centra en la atencin en la informacin como activo y en cmo se deben
establecer las medidas adecuadas para guardarlos de las incidencias,
quiebras en la seguridad y en la alteracin no deseada.

5 Control de acceso
Controlar quien accede a la informacin dentro de un aspecto relevante. Al
fin y al cabo no todas las personas de una organizacin necesitan acceder
para realizar su actividad diarias a todos los datos, sino que tendremos roles
que necesitan un mayor acceso y otros con un acceso mucho ms limitado.
Para poder marcar las diferencias, se deben establecer todos los controles
como registro de los usuarios, gestin de los privilegios de acceso, etc.
siendo algunos de los controles que se incluyen en este apartado.
6 Criptografa
En el caso de que estemos tratando la informacin sensible o crtica puede
ser interesante utilizar diferentes tcnicas criptogrficas para proteger y
garantizar su autenticidad, confidencialidad e integridad.
7 Seguridad fsica y del entorno
La seguridad no es solo a nivel tecnolgico sino tambin fsico, es decir, una
simple labor de no dejar las pantallas e impresoras en zonas que sean
fcilmente accesibles, por parte del personal externo los documentos con
los que se estn trabajando no slo nos permitirn gestionar de forma
adecuada la seguridad sino que se acabarn convirtiendo en hbitos que
nos aportan eficiencia en la gestin.
8 Seguridad de las operaciones
Tiene un marcado componente tcnico entrado en todos los aspectos
disponibles como la proteccin del software malicioso, copias de seguridad,
control de software en explotacin, gestin de vulnerabilidad, etc.
9 Seguridad de las comunicaciones
Partiendo de la base de que la gran mayora de los intercambios de
informacin y de datos en distintas escalas se llevan a cabo mediante las
redes sociales, garantizar la seguridad y proteger de forma adecuada los
medios de transmisin de estos datos clave.
10 Adquisiciones, desarrollo y mantenimiento de los sistemas de
informacin
La seguridad no es un aspecto de un rea en concreto, ni de un
determinado proceso, no que es general, abarca toda la organizacin y tiene
que estar presente como elemento transversal clave dentro del ciclo de vida
del sistema de gestin.
11 Relacin de proveedores
Cuando se establecen las relaciones con terceras partes, como puede ser
proveedores, se deben establecer medidas de seguridad pudiendo ser muy
recomendable e incluso necesario en determinados casos.
12 Gestin de incidentes de seguridad de la informacin
No podemos hablar de controles de seguridad sin mencionar un elemento
clave, los incidentes en seguridad. Y es que, estar preparados para cuando
estos incidentes ocurran, dando una respuesta rpida y eficiente siendo la
calve para prevenirlos en el futuro.

13 Aspectos de seguridad de la informacin para la gestin de la

continuidad de negocio
No sabemos lo que necesitbamos un dato hasta que lo hemos perdido.
Sufrir una prdida de informacin relevante y no poder recuperarla de
laguna forma puede poner en peligro la continuidad de negocio de la
organizacin.
14 Cumplimiento
No podemos hablar de seguridad de la informacin, sin hablar de
legislacin, normas y polticas aplicables que se encuentre relacionadas con
este campo y con las que conviven en las organizaciones. Debemos tener
presente que ocupan un enorme lugar en cualquier sistema de gestin y
deben garantizar que se cumple y que estn actualizados con los ltimos
cambios siendo esencial para no llevarnos sorpresas desagradables.

Diferencias entre ISO 27001 e ISO 27002

La ISO 27002 es mucho ms detallada y mucho ms precisa
Los controles de la norma ISO 27002 tienen la misma denominacin
que los indicados en el Anexo A de la ISO 27001, la diferencia se
presenta en el nivel de detalle.
La ISO 27002 explica un control en forma extensa, en contraste con la
ISO 27001 que slo define una oracin a cada uno.
La ISO 27002 define cmo ejecutar un sistema y la ISO 27001 define
el sistema de gestin de seguridad de la informacin (SGSI).
La ISO 27002 no distingue entre los controles que son aplicables a
una organizacin especfica y los que no lo son, en contraste la ISO
27001 exige la realizacin de una evaluacin de riesgos sobre cada
control para identificar si es necesario disminuir los riesgos y hasta
qu punto se deben aplicar.
Se usa la ISO 27001 para crear la estructura de la seguridad de la
informacin en la organizacin, se usa la ISO 27002 para implementar
controles.

Certificacin en ISO 27002

 Ante todo, no es posible obtener la certificacin ISO 27002 porque no
es una norma de gestin. Qu significa una norma de gestin?
Significa que este tipo de norma define cmo ejecutar un sistema; y
en el caso de la ISO 27001, esta norma define el sistema de gestin
de seguridad de la informacin (SGSI). Por lo tanto, la certificacin en
ISO 27001 s es posible

BIBLIOGRAFIA
Dejan Kosutic: Diferencias y similitudes entre ISO 27001 e ISO
27002
https://advisera.com/27001academy/es/knowledgebase/diferen
cias-y-similitudes-entre-iso-27001-e-iso-27002/
The ISO 27000 Directory
http://www.27000.org/iso-27002.htm
El portal de ISO 27002 en Espaol
http://www.iso27000.es/iso27002.html
La norma ISO 27002 complemento para la ISO 27001
http://www.pmg-ssi.com/2016/06/la-norma-iso-27002-
complemento-para-la-iso-27001/
Bsiamericas seguridad en informacin
http://www.bsiamericas.com/Mex+Seguridad+en+Informacion/i
ndex.xalter
ISO 27002. Recuperado el 11/4/2013, de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf