Para terminar con la revisión de los cambios en la norma
para gestionar la seguridad de la información, ISO
27000:2013, vamos a contar con detalle las novedades
sobre la ISO/IEC 27002:2013, la cual está asociada con
elAnexo A de la ISO/IEC 27001:2013.
La norma ISO 27002 fue publicada originalmente como un
cambio de nombre de la norma ISO 17799, la cual se
basaba en un documento publicado por el gobierno del
Reino Unido, que se convirtió en estándar en 1995. Fue en
el 2000 cuando se publicó por primera vez como ISO 17799,
y en 2005 aparece una nueva versión, junto con la
publicación de la norma ISO 27001. No debe olvidarse
que estos dos documentos están destinados a ser utilizados
de forma complementaria.
Dentro de ISO/IEC 27002 se extiende la información de los
renovados anexos de ISO/IEC 27001-2013, donde
básicamente se describen los dominios de control y los
mecanismos de control, que pueden ser implementados
dentro de una organización, siguiendo las directrices de ISO
27001. En esta nueva versión de la norma se encuentran
los
controles que buscan mitigar el impacto o la posibilidad de
ocurrencia de los diferentes riesgos a los cuales se
encuentra expuesta la organización.
Con la actualización de esta norma las organizaciones
pueden encontrar una guía que sirva para la
implementación
de los controles de seguridad de la organización y de las
prácticas más eficaces para gestionar la seguridad de la
información. Aunque antes de pensar en cómo migrar al
nuevo estándar ISO/IEC 27001:2013, es importante tener
en
cuenta que las categorías de los controles se han mezclado
un poco, esto buscando que los dominios de control tengan
una estructura más coherente.
Dentro de los cambios interesantes de resaltar que lo
relacionado con dispositivos móviles y teletrabajo que antes
estaba asociado al Control de Accesos, ahora se encuentra
dentro de la sección 6 “Organización de la Seguridad de la
Información”. Y dentro de la sección de Control de Accesos
se engloba lo relacionado con acceso al sistema operativo,
a
las aplicaciones y la información. Todo lo relacionado
con Criptografía es un dominio de control nuevo, sección 10,
dentro de la cual se incluyen todo los controles
criptográficos
sugeridos para una organización. En el caso de los
controles
que deben tenerse en cuenta en el caso de la recuperación
de desastres están dentro de la sección 17.
Además cabe resaltar que existen versiones específicas de
la norma ISO/IEC 27002, enfocadas en diferentes tipos de
empresas: manufactureras, sector de la salud, sector
financiero, entre otros. Si bien la nomenclatura ISO es
diferente, son normas que toman como referencia la ya
mencionada ISO 27002 y por tanto lo tanto están alienados
para la correcta gestión de la seguridad de la información.
Nuevamente es importante recordar la importancia de
conocer los cambios sobre los estándares, si bien no
influyen sobre la efectividad de la gestión de la seguridad de
la información si pueden ayudar a incrementar su
eficiencia además de ser necesarios para cumplir con todos
los requerimientos de cara a una recertificación.
No hay comentarios:
Publicar un comentario