NORMA ISO 27002:2013
La ISO 27002 es una guía de recomendaciones de buenas prácticas para la gestión de seguridad de la información.
Cubre no sólo la problemática IT sino que hace una aproximación holística a la seguridad corporativa de la información, extendiéndose a todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad de la información.
Para ello la norma, en la última versión publicada en octubre de 2013 define para su selección un total de 114 controles generales de seguridad a partir de 35 objetivos de control estructurados en 14 áreas, 4 de ellas técnicas, 9 de gestión y 1 de seguridad física.
La ISO 27002 está redactada bajo la forma verbal "should", un término presente en otras normas ISO y también del IETF y el IEEE que, por convención, expresa una forma condicional que no implica imposiciones.
Es así como la norma, como ya se dijo, hace precisamente recomendaciones y por lo tanto no establece requisitos cuyo cumplimiento pudieren certificarse, sino simplemente una serie de controles que pudieren ser necesarios implementar.
En la Tabla 1 se pueden ver las Cláusulas/Capítulos y la Numeración correspondiente, así como los Objetivos de Control de cada cláusula de la ISO 27002:2013.
|
|
|
7.3 Terminación y cambio
de empleo
|
|
8
|
Gestión de activos
|
8.1 Responsabilidad por los activos.
8.2 Clasificación de la información.
8.3 Manejos
de los medios de almacenamiento
|
|
9
|
Control de acceso
|
9.1 Requerimientos de negocios del control de accesos.
9.2 Gestión
de acceso de los usuarios.
9.3 Responsabilidades de los usuarios.
9.4 Control
de acceso de sistemas y aplicaciones.
|
|
10
|
Criptografía
|
10.1 Controles criptográficos
|
|
11
|
Seguridad física
y ambiental
|
11.1 Áreas seguras
11.2 Seguridad del equipamiento.
|
|
12
|
Seguridad de las operaciones
|
12.1 Procedimientos y responsabilidades operacionales.
12.2 Protección contra el malware.
12.3 Respaldo.
12.4 Registro
y monitoreo
12.5 Control
del software operativo.
12.6 Gestión
de las vulnerabilidades técnicas.
12.7 Consideraciones de la auditoría de sistemas de información.
|
|
13
|
Seguridad de las comunicaciones
|
13.1 Gestión
de la seguridad de redes.
13.2 Transferencia de información.
|
|
14
|
Adquisición, desarrollo y mantenimiento de sistemas
|
14.1 Requerimientos de seguridad de los sistemas de información.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.3 Pruebas
de datos.
|
|
15
|
Relaciones con proveedores
|
15.1 Seguridad de la información en las relaciones con proveedores.
15.2 Gestión
de entrega de servicios de proveedores.
|
|
16
|
Gestión de incidentes de seguridad de la información
|
16.1 Gestión de incidentes y mejoras
de la seguridad de la información.
|
|
17
|
Aspectos de seguridad de la información en la Gestión de Continuidad de Negocios
|
17.1 Continuidad de la seguridad de la información.
17.2 Redundancias.
|
|
18
|
Cumplimiento
|
18.1 Compromiso con los requerimientos legales y contractuales.
18.2 Revisiones de la seguridad de la información.
|
NORMA ISO 27001:2013
En contraposición con la ISO 27002, la ISO 27001 usa la expresión "shall", otro término convencional, en este caso para expresar mandato u obligación.
De esta manera la ISO 27001 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad de la Información, SGSI (o ISMS, por su nombre en inglés) dentro del contexto de los riesgos totales de negocios de una empresa.
En definitiva, las especificaciones y las implementaciones correspondientes hacen que tanto la auditoría como la certificación se hagan con referencia a la ISO 27001.
Así las cosas, para fines de Febrero de 2014 se habían emitido más de 20.000 certificaciones correspondientes a organizaciones de 100 países diferentes.
Claro que prácticamente todas estas certificaciones lo fueron con la versión 2005, por lo que en un lapso de dos años tendrán que ser actualizadas con la última versión que estamos comentando.
En esta nueva versión de 2013, el cambio más evidente está en la estructura de la norma, ya que se adaptó a la estructura definida en el Apéndice 2 del Anexo SL del Suplemento Consolidado de Procedimientos específicos para ISO de la Parte 1 de las Directivas ISO/IEC.
Con ajuste al Anexo SL (anteriormente ISO Guide 83) todas las normas de sistemas de gestión tienen o tendrán una estructura común, con idéntico texto principal, salvo en el Apartado Operación referido en gran parte a las cuestiones específicas de cada norma, y que luego comentaremos más en detalle
De esta manera se facilita trabajar con más de un Sistema de Gestión, lo que permite una integración más simple con otras normas similares de Sistemas de Gestión tales como la ISO 9001, la ISO 20000-1 y la ISO 14001.
Por otra parte, la norma hace hincapié en que el SGSI debe proteger la Confidencialidad, Integridad y Disponibilidad (CIA) de la información, aplicando un proceso de gestión de riesgos de forma tal que proporcione a las partes interesadas confianza en que los riesgos están gestionados adecuadamente.
Un nuevo concepto que se incorpora es el de las partes interesadas, que incluye no sólo a los accionistas o los propietarios de una empresa sino a todas las personas interesadas directa o indirectamente en la organización (shareholders), así como las propias autoridades legales o regulatorias.
|
#
|
Cláusulas
|
Apartados
|
|
0
|
Introducción
|
|
|
1
|
Alcance
|
|
|
2
|
Referencias normativas
|
|
|
3
|
Términos y definiciones
|
|
|
4
|
Contexto de la organización
|
4.1 Comprensión de la organización y su contexto.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
4.3 Determinación del alcance del sistema de gestión de
continuidad de negocios
4.4 Sistema
de Gestión de Continuidad de Negocios
|
|
5
|
Liderazgo
|
5.1 Liderazgo y compromiso.
5.2 Compromiso gerencial.
5.3 Política.
5.4 Roles,
responsabilidades y autoridades de la organización.
|
|
6
|
Planificación
|
6.1 Acciones
para atender los riesgos y las oportunidades.
6.2 Objetivos de continuidad de negocios y planes para lograrlos.
|
|
7
|
Soporte
|
7.1 Recursos
7.2 Competencia
7.3 Concientización
7.4 Comunicación
7.5 Información a documentar
|
|
8
|
Operación
|
8.1 Planificación y control
operacional.
8.2 Análisis de impactos en los negocios y valuación de
riesgos.
8.3 Estrategia de continuidad de negocios.
8.4 Establecimiento e implementación de los procedimientos
|
|
|
|
de continuidad de negocios.
8.5 Ejercicios y pruebas
|
|
9
|
Evaluación del desempeño
|
9.1 Monitoreo, medición, análisis y evaluación
9.2 Auditoría interna.
9.3 Revisión
gerencial.
|
|
10
|
Mejoramiento
|
10.1 No conformidades y acciones
correctivas.
10.2 Mejoramiento continuo.
|
No hay comentarios:
Publicar un comentario