Monday, April 23, 2012

ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información

    El objetivo de la norma ISO 27002 antes ISO 17799:2005), es definir un marco para la gestión de la información de seguridad. Esta norma se centra principalmente en los pasos necesarios para establecer el funcionamiento del SGSI y aplicarlo en la organización.

    Las medidas de seguridad necesarias se describen brevemente en aproximadamente 100 páginas de la norma. Las recomendaciones están destinados principalmente a nivel de gestión por lo tanto no contienen mucha información técnica.

    La implementación de las recomendaciones de seguridad en la norma ISO 27002 es una de las muchas maneras para cumplir los requisitos de la norma ISO 27001.

    Contenido

    • Estructura con 11 áreas temáticas, clausulas o secciones  de control
      • Política de Seguridad
      • Organización de la seguridad de la información
      • Gestión de Activos
      • Seguridad de Recursos Humanos 
      • Seguridad física y ambiental
      • Gestión de Comunicaciones y  Operaciones
      • Control de Acceso
      • Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
      • Gestión de Incidentes de Seguridad de la Información 
      • Gestión  de continuidad
      • Conformidad 
    • Por cada área se definen uno o más objetivos control, indican que se puede lograr, en total son 39
    • Para cada objetivo de control se definen uno o varios controles de seguridad, responden a  ¿Cómo puede logar el objetivo de control? en total son 133 controles

    Control

    Es una medida de seguridad que utilizan las empresas para gestionar el riesgo, incluye políticas de seguridad, procedimientos, directrices, prácticas y estructuras organizativas, las que pueden ser administrativas, técnicas, de gestión, o de carácter legal. También son como  salvavidas, medidas correctivas (countermeasure) o soluciones puntuales a situaciones concretas, por lo tanto sin un SGSI los controles pueden tender a ser un poco desorganizados y desarticulados.

    El Anexo A de la norma ISO/IEC 27001 enumera los controles de seguridad de la información de la norma ISO/IEC 27002 (Código de mejores Prácticas del SGSI), el cual  proporciona información adicional y asesoramiento sobre la ejecución de los controles de seguridad.

    Varios conjuntos adicionales de controles puede ser utilizados potencialmente dentro de la norma ISO/IEC 27001 e incluso remplazar la norma ISO/IEC 27002, sin embargo  estas dos normas suelen se utilizarse juntas en la práctica para satisfacer muchos de los requisitos de la certificación, el problema es que pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, el cumplimiento certificado de la norma ISO/IEC 27001 garantiza que el SGSI está en operando correctamente, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización

    Los controles técnicos de seguridad, como Antivirus y Firewalls normalmente no se auditan en la certificación de la norma ISO/IEC 27001: la organización presume que se han adoptado todas las medidas de seguridad de la información necesaria desde el SGSI y se considera adecuada cuando cumpla con los requisitos de la norma ISO/IEC 27001.

    Cada control consiste en:
    • Declaración de Control
    • Guía de Implementación y Certificación
    • Información Adicional



    Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.

    No comments: