Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La
norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de
control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser
tenidos en cuenta al momento de evaluar los controles de cada uno de los
dominios de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la
dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos
controles gestionan la seguridad de la información dentro de la Organización.
El órgano de dirección debe aprobar la política de seguridad de la información,
asignando los roles de seguridad y coordinando la implantación de la seguridad
en toda la Organización. Terceras partes: estos controles velan por mantener la
seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización.
Clasificación y control de activos: Responsabilidad sobre los activos: estos
controles pretenden alcanzar y mantener una protección adecuada de los
activos de la organización. Clasificación y control de de la información: la
información se encuentra clasificada para indicar las necesidades, prioridades y
nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar
que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para
reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de
procesamiento de información sensible deben estar ubicados en áreas seguras
y protegidas en un perímetro de seguridad definido por barreras y controles de
entrada, protegidas físicamente contra accesos no autorizados. Seguridad de
los equipos: se enfoca en los controles de protección contra amenazas físicas y
para salvaguardar servicios de apoyo como energía eléctrica e infraestructura
del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar,
implementar y mantener un nivel apropiado de seguridad de la información,
además de la operación correcta y segura de los recursos de tratamiento de
información, minimizando el riesgo de fallos en los sistemas y asegurando la
protección de la información en las redes y la protección de su infraestructura
de apoyo.
Control de accesos: Controla los accesos a la información y los recursos de
tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles
adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información: Se establecen
informes de los eventos y de los procedimientos realizados, todos los
empleados, contratistas y terceros deben estar al tanto de los procedimientos
para informar de los diferentes tipos de eventos y debilidades que puedan tener
impacto en la seguridad de los activos de la organización.
Gestión de la continuidad del negocio: La seguridad de información debe ser
una parte integral del plan general de continuidad del negocio (PCN) y de los
demás procesos de gestión dentro de la organización. El plan de gestión de la
continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier
ley, estatuto, regulación u obligación contractual y de cualquier requisito de
seguridad dentro y fuera de la organización. Los requisitos legales específicos
deberían ser advertidos por los asesores legales de la organización o por
profesionales del área. Además se deberían realizar revisiones regulares de la
seguridad de los sistemas de información.
OBJETIVO DE LA AUDITORIA
ASPECTOS CONFORMES
ASPECTO OBSERVACIÓN
Estructura organizativa para la Se considera necesario que se
seguridad conformen o se definan de manera
más clara el comité de la dirección
Organización Interna.
sobre seguridad de la información,
o Comité de la dirección
esto permitirá una estructura
sobre seguridad de la
información. organizativa más sólida para la
empresa.
Estructura organizativa para la Se considera importante analizar los
seguridad riesgos por parte de acceso de
terceras partes, esto para garantizar
Terceras Partes.
la solidez del esquema de seguridad
o Identificación de riesgos
de la información con una estructura
por el acceso de terceras
partes. organizativa mejor formada.
Gestión de comunicaciones y Se deben documentar y soportar las
operaciones copias de seguridad, con el fin de
obtener mejores prestaciones en la
Copias de seguridad.
persistencia de los datos y obteniendo
o Información de copias de
a su vez mejor gestión de
seguridad.
comunicaciones y operaciones.
Control de accesos Para garantizar la robustez de los
controles de acceso, es necesario que
Control de acceso al sistema
se mejore el sistema de
operativo.
administración de contraseñas;
o Sistema de
administración de permitiéndole a los usuarios realizar
contraseñas. cambios periódicos de estas
garantizando la seguridad de los
datos privados de la empresa.
RESULTADO DE LA AUDITORIA
% de cumplimiento de la norma
Objetivos
Dominios Controles
de Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala