ISO 27002
¿Qué es?
En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000. En este grupo se encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.A través del suministro de una guía completa de implementación, esa norma describe cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser elegidos en base a una evaluación de riesgos de los activos más importantes de la empresa. Al contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para apoyar la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño o gran porte, con o sin fines de lucro; y no sólo en las empresas de tecnología.
Objetivo
El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.
Beneficios para la empresa
Las ventajas proporcionadas por la certificación ISO 27002 son representativas para las empresas, sobre todo porque son reconocidas mundialmente. Conozca algunos beneficios asociados a la aplicación de la norma:
- Mejor concienciación sobre la seguridad de la información;
- Mayor control de activos e información sensible;
- Ofrece un enfoque para la implementación de políticas de control;
- Oportunidad de identificar y corregir puntos débiles;
- Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y procedimientos;
- Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación;
- Mejor organización con procesos y mecanismos bien diseñados y gestionados;
- Promueve reducción de costos con la prevención de incidentes de seguridad de la información;
- Conformidad con la legislación y otras reglamentaciones.
Principales items
La parte principal de la norma se encuentra distribuida en las siguientes secciones, que corresponden a controles de seguridad de la información. Es importante recordar que la organización puede utilizar esas directrices como base para el desarrollo del SGSI. Como sigue:
Sección 5 – Política de Seguridad de la Información
Se debe crear un documento sobre la política de seguridad de la información de la empresa, que debe contener los conceptos de seguridad de la información, una estructura para establecer los objetivos y las formas de control, el compromiso de la dirección con la política, entre tantos otros factores.Sección 6 – Organización de la Seguridad de la Información
Para implementar la Seguridad de la Información en una empresa, es necesario establecer una estructura para gestionarla de una manera adecuada. Para ello, las actividades de seguridad de la información deben ser coordinadas por representantes de la organización, que deben tener responsabilidades bien definidas y proteger las informaciones de carácter confidencial.Sección 7 – Gestión de activos
Activo, según la norma, es cualquier cosa que tenga valor para la organización y que necesita ser protegido. Pero para ello los activos deben ser identificados y clasificados, de modo que un inventario pueda ser estructurado y posteriormente mantenido. Además, deben seguir reglas documentadas, que definen qué tipo de uso se permite hacer con dichos activos.Sección 8 – Seguridad en recursos humanos
Antes de la contratación de un empleado – o incluso de proveedores – es importante que sea debidamente analizado, principalmente si se trata de información de carácter confidencial. La intención de esta sección es mitigar el riesgo de robo, fraude o mal uso de los recursos. Y cuando el empleado esté trabajando en la empresa, debe ser consciente de las amenazas relativas a la seguridad de la información, así como de sus responsabilidades y obligaciones.Sección 9 – Seguridad física y del medio ambiente
Los equipos e instalaciones de procesamiento de información crítica o sensible deben mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo protección contra amenazas físicas y ambientales.Sección 10 – Seguridad de las operaciones y comunicaciones
Es importante que estén definidos los procedimientos y responsabilidades por la gestión y operación de todos los recursos de procesamiento de la información. Esto incluye la gestión de servicios tercerizados, la planificación de recursos de los sistemas para minimizar el riesgo de fallas, la creación de procedimientos para la generación de copias de seguridad y su recuperación, así como la administración segura de las redes de comunicaciones.Sección 11 – Control de acceso
El acceso a la información, así como a los recursos de procesamiento de la información y los procesos de negocios, debe ser controlado con base en los requisitos de negocio y en la seguridad de la información. Debe garantizarse el acceso de usuario autorizado y prevenido el acceso no autorizado a los sistemas de información, a fin de evitar daños a documentos y recursos de procesamiento de la información que estén al alcance de cualquiera.Sección 12 – Adquisición, desarrollo y mantenimiento de sistemas
Los requisitos de seguridad de los sistemas de información deben ser identificados y acordados antes de su desarrollo y/o de su implementación, para que así puedan ser protegidos para el mantenimiento de su confidencialidad, autenticidad o integridad por medios criptográficos.Sección 13 – Gestión de incidentes de seguridad de la información
Los procedimientos formales de registro y escalonamiento deben ser establecidos y los empleados, proveedores y terceros deben ser conscientes de los procedimientos para notificar los eventos de seguridad de la información para asegurar que se comuniquen lo más rápido posible y corregidos en tiempo hábil.Sección 14 – Gestión de continuidad del negocio
Los planes de continuidad del negocio deben ser desarrollados e implementados, con el fin de impedir la interrupción de las actividades del negocio y asegurar que las operaciones esenciales sean rápidamente recuperadas.Sección 15 – Conformidad
Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos, regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la información. En caso necesario, la empresa puede contratar una consultoría especializada, para que se verifique su conformidad y adherencia a los requisitos legales y reglamentarios.https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi
Comentarios
Publicar un comentario