Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Es importante el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de
buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus
recomendaciones.
La norma ISO 27002 se encuentra estructurada en 14 capítulos o dominios que describen las áreas que
se deben considerar para garantizar la seguridad de la información de las que se dispone. El documento
recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que hay que tenerlos en
cuenta y considerar su posible aplicación, además del grado de la misma.
MÉTRICAS ASOCIADAS
Porcentaje de operaciones de backup exitosas.
Porcentaje de recuperaciones de prueba exitosas.
Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera
de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales.
Porcentaje de backups y archivos con datos sensibles o valiosos que están cifrados.
En ISO/IEC 27001
A.10 Gestión de comunicaciones y operaciones
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO)
y describe cómo gestionar la seguridad de la información en una empresa. El eje central de ISO 27001
es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo
hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se
produzcan (es decir, mitigación o tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar
dónde están los riesgos y luego tratarlos sistemáticamente.
REDES:
Control: Se deben identificar e incluir en cualquier acuerdo de servicio de red los aspectos de
seguridad, niveles de servicio y requisitos de gestión, así estos servicios sean provistos interna o
externamente.
Control: Los usuarios deben tener acceso directo únicamente a los servicios cuyo uso está
específicamente autorizado.
Control: Se deben implementar controles de ruteo para asegurar que las conexiones de
computadora y los flujos de información no violen la política de control de acceso de las
aplicaciones de negocios.
CLAVES
Control: Se usará un sistema de gestión de claves con el fin de apoyar el uso de técnica
criptográficas dentro de la organización
Control: Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de
contraseñas.
LICENCIAS
Objetivos de control: Prevenir pérdidas, daños o comprometer los activos, así como la interrupción
de las actividades de la organización.
CÓDIGO DE DESARROLLO