ISO/IEC 27002

La información es crítica para la operación y, en casos extremos, para la supervivencia de las organizaciones. Usando un Sistema de Gestión de Seguridad de la Información (SGSI) y certificándolo contra el estándar ISO/IEC 27001, ayudará a las organizaciones a gestionar y proteger sus activos de información.

La ISO/IEC 27001:05 nace como modelo para gestionar la seguridad de la información y, como todos los modelos ISO certificables, no se refiere a un contexto específico, es decir, que el modelo también es aplicable fuera de los sistemas informáticos, siendo la información entendida como independiente de los soportes y de las infraestructuras.

En general se puede afirmar que el modelo es aplicable a cualquier contexto productivo y a cualquier tipo de organización: simple o compleja, pública o privada, informatizada o no. La experiencia nos enseña, sin embargo, que quienes lo emplean con mayor frecuencia y eficacia son las empresas y las organizaciones para las que las TICs constituye un eje portante de relieve (administraciones públicas centrales y locales, proveedores de servicios telefónicos y de telecomunicaciones, departamentos/divisiones IT de bancos y seguros, etc.).

El estándar ISO/IEC 27001:05 define los requisitos aplicativos para un SGSI. Dichos requisitos son utilizables tanto para la implementación como para la auditoría de los SGSI.

En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma:

Política de seguridad

  • Organización de la información de seguridad
  • Administración de recursos
  • Seguridad de los recursos humanos
  • Seguridad física y del entorno
  • Administración de las comunicaciones y operaciones
  • Control de accesos
  • Adquisición de sistemas de información, desarrollo y mantenimiento
  • Administración de los incidentes de seguridad
  • Administración de la continuidad de negocio
  • Cumplimiento (legales, de estándares, técnicas y auditorías)

La ISO/IEC 27002:2005 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

Temas tratados en los cursos que ofrecemos a nuestros clientes:

  • Fundamentos – alcance, conceptos y definiciones
  • Contexto – Por qué es importante la Gestión de la Seguridad, necesidades del negocio y beneficios del negocio, el aspecto jurídico, el marco de Gestión de Seguridad
  • Estándares y procedimientos – Estándares de Seguridad, ISO 27001 & ISO 27002, sistemas de certificación, códigos de conducta y asuntos del personal, desarrollo de una Política de Seguridad
  • Amenazas – Cuáles son las amenazas a la infraestructura (sistemas distribuidos, data centers, networks, software, información, etc.)? Cuáles son las amenazas que plantea la mayor exposición a Internet y la prevalencia de software malicioso?
  • Gestión del Riesgo – enfoques en el análisis del riesgo, evaluación de vulnerabilidades, implementación de contramedidas para combatir el riesgo
  • Protegiendo la infraestructura – salvaguardias de software, problemas de las personas, network y consideraciones de  comunicaciones, servidores y sistemas, preservando la integridad de la información, las cuestiones de desarrollo, el mantenimiento de la confidencialidad, la continuidad del negocio
  • Interfases con la Gestión de Servicios – integración de la Gestión de Seguridad  en la Gestión de Servicios TI
  • Roles en la Gestión de la Seguridad – El Rol del Gestor de Seguridad, puesta en marcha y actividades en curso
  • Implementando la Gestión de la Seguridad – costos, toma de conciencia, problemas y factores críticos de éxito.