ISO/IEC 27002

 ISO /IEC 27002

En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) crearon un grupo de normas que consolidan las directrices relacionadas con el alcance de la Seguridad de la Información

La ISO/IEC 27002 es una norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.

Las ventajas proporcionadas por la certificación ISO 27002 son las siguientes:

  • Mejor concienciación sobre la seguridad de la información
  • Mayor control de activos e información sensible
  • Ofrece un enfoque para la implementación de políticas de control
  • Oportunidad de identificar y corregir puntos débiles
  • Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y procedimientos
  • Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación
  • Mejor organización con procesos y mecanismos bien diseñados y gestionados
  • Promueve reducción de costos con la prevención de incidentes de seguridad de la información
  • Conformidad con la legislación y otras reglamentaciones

La parte principal de la norma se encuentra distribuida en las siguientes secciones, que corresponden a controles de seguridad de la información:


Diferencias ISO/IEC 27002:2005 y ISO/IEC 27002:2013.

ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 ahora tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores.

El antiguo estándar tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78.

ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas
subsecciones discuten seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), desarrollo seguro (14.2.1), principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguros (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), la evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguridad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).

Comentarios

Publicar un comentario

Entradas populares de este blog

Modelo de Seguridad CIA

Imagen
La seguridad de la información se articula sobre distintas dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información. Las dimensiones básicas forman el denominado modelo CIA, acrónimo de Confidencialidad, integridad y disponibilidad (availability). Este modelo se denomina también Triángulo CIA por las relaciones entre las dimensiones. Las medidas de seguridad se aplican para garantizar estas dimensiones. Disponibilidad . La información debe estar accesible cuando la necesitemos. Ejemplos de falta de disponibilidad: no podemos acceder a un servicio por un error de configuración, o por sufrir un ataque de denegación de servicio. Integridad . La información debe ser correcta y libre de errores. Ejemplos de falta de integridad: La información has sido alterada por un mal procesamiento o de forma intencionada (malware, empleado insatisfecho, …) Confidencialidad . La información sólo debe ser accesible para para el personal autorizado. Ejempl...
Leer más

Plan director de seguridad: Hoja de análisis

Imagen
  Plan director de seguridad: Hoja de análisis Siguiendo el ejemplo de análisis que encontramos en la herramienta INCIBE, la matriz de riesgo resultante es  la siguiente: La página web  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos  de la que ya he hablando en post anteriores, nos permite hacer matrices de riesgo a partir de los datos recogidos en la hoja de calculo de INCIBE. 
Leer más

Matriz de riesgo

Imagen
  Matriz de riesgo  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos Una matriz de riesgos, conocida también como “Matriz de Probabilidad de Impacto”, es una herramienta, útil para toda empresa, que le permite identificar los riesgos a los que está expuesta. De esa forma, las compañías pueden determinar los niveles aceptables de exposición a aquellos, así como establecer el control apropiado frente a los mismos y monitorear la efectividad del método de control elegido.  Con el link anexionado arriba podemos hacer de forma online, una matriz de riesgo donde poder indicar los riesgos a los que la empresa se encuentra sometida.  Los riesgos se representarán en colores distintos dependiendo del nivel de peligro: alto (rojo), medio (naranja) y bajo (verde). 
Leer más