Generalidades.
La ISO 27002 es una guía de buenas prácticas que describe cuáles deben de ser los objetivos de control que se deben aplicar sobre la seguridad de la información. Funciona de la siguiente manera:
1. Las empresas que desean resguardar sus activos de información implementan la norma ISO 27001, la cual consiste en la creación de un Sistema de Gestión de la Seguridad de la Información.
2. Para evaluar el desempeño del estándar anterior, se utiliza la ISO 27002 en la que están recopilados los controles que deben ser aplicados para evaluar el desempeño del estándar. Cabe destacar que la ISO 27001 también contiene un conjunto de controles; pero estos se refieren a los requisitos para la creación del SGSI y; por otra parte, los controles especificados en la ISO 27002 sirven para la evaluación de la misma.
En este sentido, la ISO 27002 se utiliza como un documento de referencia y como tal, NO es certificable.
Contenido de la Norma.
En total la norma contiene 39 objetivos de control y 133 controles los cuales están agrupados en 11 dominios. La siguiente figura muestra cada uno de los dominios de la norma.
1. Políticas de Seguridad. Consiste en los controles que se aplican a las políticas de seguridad de la información. Comprende tanto la elaboración del documento que recopile todas las políticas, como su revisión.
2. Organización de la Seguridad de la Información. Esta sección tiene dos objetivos de control que corresponden a la organización interna de la información y su trato con terceros.
3. Gestión de Activos. Este dominio posee dos activos que tratan la responsabilidad sobre los activos; es decir, quién es responsable de qué activo, y la clasificación de la información, que contiene una serie de directrices para clasificar la información y su posterior manipulación.
4. Seguridad de los Recursos Humanos. Comprende todos los controles que se deben implementar para evitar la fuga de información por parte del personal de la empresa. El
dominio contiene tres controles que corresponden al ciclo de trabajo de una persona: antes del empleo, durante el empleo y el cese del empleo.
5. Seguridad física y del entorno. Para que los datos estén debidamente resguardados, es necesario que éstos se encuentren en una zona segura y con los equipos adecuados; debidamente preparados para ejecutar la tarea encomendada. Este dominio comprende los controles necesarios tanto para la preparación de áreas seguras, como para el emplazamiento y protección de equipos.
6. Gestión de Comunicaciones y Operaciones. Este dominio es el más largo de toda la norma y comprende diez objetivos de control que aseguran una comunicación efectiva entre los sistemas de información; así como
asegura todas las operaciones que conlleven un intercambio de información, como: servicios de e-commerce, redes de datos, entre otros.
7. Control de Acceso. Es lógico pensar que; en una empresa, no todos los usuarios deben tener acceso a toda la información de la empresa; sino que cada usuario debe acceder únicamente a la información con la que trabaja. Para ello, se establecen 6 objetivos de control que definen la meta que se ha de alcanzar mediante la gestión de los accesos de usuario y la concesión de privilegios.
8. Adquisición, desarrollo y mantenimiento de sistemas de información. Para que la información de una empresa esté debidamente resguardada, es necesario que el sistema de seguridad que se ha implementado esté en una continua revisión. Para ello, se plantean 6 objetivos de control sobre los cuales ha de guiarse el tratamiento de los SI.
9. Gestión de Incidentes en la seguridad. Al implementar un sistema de gestión de la Seguridad de la Información, cualquier incidente implica un fallo en el mismo y ha de ser controlado correctamente para que no afecte otras áreas de la organización. Se plantean 2 objetivos: el primero está relacionado con la identificación de los puntos débiles del SGSI y el segundo con la gestión de incidentes y la implementación de mejoras al sistema.
10. Gestión de la continuidad del negocio. Este dominio tiene un solo objetivo y consiste en el alineamiento de los objetivos del SGSI con los objetivos de la compañía.
11. Cumplimiento. Este es el último dominio y se plantea como una evaluación. Se evalúan distintos factores: requisitos legales, normas de seguridad y cumplimiento técnico, y auditorías.
En conclusión la ISO 27002 sirve como un punto de información de la serie de normas 27000. Evalúa y rectifica su implementación mediante la aplicación de objetivos de control. Dichos objetivos han de ser cumplidos para garantizar la correcta implantación de las normas; así como el funcionamiento de la empresa en cuanto a la seguridad de la información.
No hay comentarios:
Publicar un comentario