Inicio ISO 27000 ISO 27002 / 2013

ISO 27002 / 2013

Publicado el Publicado en ISO 27000, ISO 27002 Etiquetado con

Es una guía de buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una organización. Para ello describe 11 dominios, es decir áreas de actuación, 39 objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o mecanismos para asegurar los distintos objetivos de control. Existen dos tipos de controles que se complementan Técnicos (ej. Antivirus, cortafuegos; estos controles deben quedar perfectamente documentados a través de procedimientos) y Organizativos (quedan documentados a través de procedimientos, normativas o políticas de seguridad). Los controles seleccionados por la organización serán recogidos en un documento llamado SOA (Declaración de Aplicabilidad) que controles se aplican en la organización y cuáles no. Para aquellos controles que si aplican se deben incluir:

  • Los objetivos del control
  • La descripción
  • La razón para su selección/aplicación
  • La referencia al documento en el que se desarrolla su implantación

Para aquellos controles no seleccionados (porque se consideran que no aplican):

  • Indicar la razón de su exclusión de manera detallada (el documento debe mostrar que los controles no elegidos no se han escogido al azar o sin una razón de peso).

En el momento de selección un control debemos tener en consideración las siguientes cuestiones:

  • El Coste del control frente al coste del impacto que supondría que el activo a proteger sufriera un incidente y el valor de dicho activo
  • La necesidad de disponibilidad del Control
  • Qué controles ya existen
  • Qué supondría su implantación y mantenimiento, tanto en recursos económicos como en humanos

Tras decidir qué controles son válidos para la organización se procederá a su implantación. Esta fase es una de las que requiere más tiempo y recursos de toda la empresa. Para la implantación de controles y las salvaguardas más técnicas se necesitará de aquel personal que realiza estas labores técnicas. Mientras que para los controles organizativos será la dirección quien tenga que tomar decisiones, además de formar y conciencia a toda la entidad. No es necesario el desarrollo de un procedimiento o documento por cada uno de los controles escogidos, sino que es más aconsejable agrupar diferentes controles para hacer más utilizable el sistema. Los controles implantados deberán ser revisados con regularidad para ver que su funcionamiento es el esperado. Esta verificación tiene que ser realizada por el propietario del activo periódicamente en función de la criticidad y el valor del mismo. Para verificar el correcto funcionamiento de un control implantada es muy importante haber establecido previamente una serie de objetivos e indicadores que nos permita la medición de dicho funcionamiento. Dominios/Áreas:

  • Política de seguridad (1 control)
  • Organizando la seguridad de información (2 controles)
  • Gestión de activos (2 controles)
  • Seguridad ligada a recursos humanos (3 controles)
  • Seguridad física y ambiental (2 controles)
  • Gestión de comunicaciones y operaciones (10 controles)
  • Control de acceso (7 controles)
  • Adquisición, desarrollo y mantenimiento de sistemas de información (6 controles)
  • Gestión de incidentes de los sistemas de información (2 controles)
  • Gestión de la continuidad del negocio (1 control)
  • Cumplimiento

Ejemplo: iso27002es