ISO/IEC 27002: Código de buenas prácticas

Es importante el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de
buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus
recomendaciones.

La norma ISO 27002 se encuentra estructurada en 14 capítulos o dominios que describen las áreas que
se deben considerar para garantizar la seguridad de la información de las que se dispone. El documento
recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que hay que tenerlos en
cuenta y considerar su posible aplicación, además del grado de la misma.

1. Políticas de Seguridad de la Información: Se hace hincapié en la importancia que ocupa la disposición

de una adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal,
revisada de forma periódica y actualizada con los cambios que se producen en el interior y en el
exterior.
2. Organización de la Seguridad de la Información: Los controles indicados en este capítulo
buscan estructurar un marco de seguridad eficiente tanto mediante los roles, tareas, seguridad, etc.
como en los dispositivos móviles.
3. Seguridad relativa a los recursos humanos: La gran mayoría de los incidentes de seguridad tienen su
origen en un error humano, es de importancia la información en el desarrollo de sus actividades,
además de promover, mantener y mejorar el nivel de seguridad adecuándolo a las características de
los datos y la información que maneja es clave y uno de los objetivos que se debe perseguir.
4. Gestión de activos: Se centra en la atención en la información como activo y en cómo se deben
establecer las medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en
la alteración no deseada.
5. Control de acceso: Controlar quien accede a la información dentro de un aspecto relevante. Para
poder marcar las diferencias, se deben establecer todos los controles como registro de los
usuarios, gestión de los privilegios de acceso, etc.
6. Criptografía: cuando se trata la información sensible o crítica puede ser interesante utilizar
diferentes técnicas criptográficas para proteger y garantizar su autenticidad, confidencialidad e
integridad
7. Seguridad física y del entorno: La seguridad no es solo a nivel tecnológico sino también físico, por
parte del personal externo los documentos con los que se están trabajando no sólo nos permitirán
gestionar de forma adecuada la seguridad, sino que se acabarán convirtiendo en hábitos que nos
aportan eficiencia en la gestión.
8. Seguridad de las operaciones: Tiene un marcado componente técnico entrado en todos los aspectos
disponibles como la protección del software malicioso, copias de seguridad, control de software en
explotación, gestión de vulnerabilidad, etc.
9. Seguridad de las comunicaciones: Partiendo de la base de que la gran mayoría de los intercambios
de información y de datos en distintas escalas se llevan a cabo mediante las redes sociales, garantizar
la seguridad y proteger de forma adecuada los medios de transmisión de estos datos clave.
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información: La seguridad no es un
aspecto de un área en concreto, ni de un determinado proceso, no que es general, abarca toda la
organización y tiene que estar presente como elemento transversal clave dentro del ciclo de vida del
sistema de gestión.
11. Relación de proveedores: se deben establecer medidas de seguridad pudiendo ser muy
recomendable e incluso necesario en determinados casos.
12. Gestión de incidentes de seguridad de la información: Se debe estar preparado para cuando estos
incidentes ocurran, dando una respuesta rápida y eficiente siendo la calve para prevenirlos en el
futuro.
13. Aspectos de seguridad de la información para la gestión de la continuidad de negocio: Sufrir una
pérdida de información relevante y no poder recuperarla de alguna forma puede poner en peligro la
continuidad de negocio de la organización
14. Cumplimiento: Legislación, normas y políticas aplicables que se encuentre relacionadas con este
campo y con las que conviven en las organizaciones. Debemos tener presente que ocupan un
enorme lugar en cualquier sistema de gestión y deben garantizar que se cumple y que están
actualizados con los últimos cambios siendo esencial para no llevarnos sorpresas desagradables.

CLÁUSULA 8: Seguridad de las operaciones

OBJETIVO: El objetivo es alcanzar un grado de protección deseado contra la pérdida de datos.

8.3. COPIAS DE SEGURIDAD

 Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y
comunicación.
 Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo
(consultar 10.1) para realizar copias de seguridad y probar su puntual recuperación.
 Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales
sino también requisitos de negocio "internos" de la organización.
 Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información
más importantes y use esta información para crear su estrategia de backup y recuperación.
 Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup,
frecuencia de copia y prueba de soportes.
 Aplique técnicas de cifrado a copias de seguridad y archivos que contengan datos sensibles o
valiosos.

ACTIVIDADES DE CONTROL DE RIESGO

8.3.1 Copias de seguridad de la información: Se deberían realizar pruebas regulares de las copias de la
información, del software y de las imágenes del sistema en relación a una política de respaldo (Backup)
convenida.

MÉTRICAS ASOCIADAS
 Porcentaje de operaciones de backup exitosas.
 Porcentaje de recuperaciones de prueba exitosas.
 Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera
de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales.
 Porcentaje de backups y archivos con datos sensibles o valiosos que están cifrados.

En ISO/IEC 27001
A.10 Gestión de comunicaciones y operaciones

A.10.5. Gestión interna de respaldo y recuperación

Objetivo de control: Mantener la integridad y disponibilidad del procesamiento de información y

servicios de comunicación.

A.10.5.1 Recuperación de la información

Control: Se obtendrán y probarán las copias de recuperación y respaldo de información y software

regularmente en concordancia con la política acordada.
 ISO/IEC 27001: Requisitos del SGSI

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO)
y describe cómo gestionar la seguridad de la información en una empresa. El eje central de ISO 27001
es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo
hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se
produzcan (es decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar
dónde están los riesgos y luego tratarlos sistemáticamente.

REDES:

Anexo A.10 Gestión de comunicaciones y operaciones

 A.10.6 Gestión de seguridad de redes

Objetivo de control: Asegurar la salvaguarda de información en las redes y la protección de la

infraestructura de soporte.

 A.10.6.1 Controles de red

Control: Se implementará un conjunto de controles para lograr y mantener la seguridad en las

redes, y mantener la seguridad de los sistemas y aplicaciones usuarios de la red, incluyendo la
información de tránsito.

 A.10.6.2. Seguridad de los servicios de red

Control: Se deben identificar e incluir en cualquier acuerdo de servicio de red los aspectos de
seguridad, niveles de servicio y requisitos de gestión, así estos servicios sean provistos interna o
externamente.

Anexo A.11 Control de accesos

 A.11.4 Control de acceso a la red

Objetivo de control: Prevenir el acceso no autorizado a los servicios de red.

 A.11.4.1 Políticas de uso de los servicios de la red

Control: Los usuarios deben tener acceso directo únicamente a los servicios cuyo uso está
específicamente autorizado.

 A.11.4.3 Autenticación de equipos en la red

Control: Se debería considerar equipos con autenticación automática para autenticar

conexiones desde ubicaciones y equipos informáticos.

 A.11.4.6. Control de conexión a las redes

Control La capacidad de conexión de los usuarios de redes compartidas, especialmente aquellas

que se extienden fuera de las fronteras de la organización, debe restringirse de conformidad
con la política de control de acceso y los requisitos de las aplicaciones.
  A.11.4.7. Control de enrutamiento en la red

Control: Se deben implementar controles de ruteo para asegurar que las conexiones de
computadora y los flujos de información no violen la política de control de acceso de las
aplicaciones de negocios.

CLAVES

A.12 Adquisición de sistemas de información, desarrollo y mantenimiento

 A.12.3 Controles criptográficos

Objetivo de control: Proteger la confidencialidad, autenticidad o integridad a través de medios

criptográficos.

 A.12.3.2 Gestión de claves

Control: Se usará un sistema de gestión de claves con el fin de apoyar el uso de técnica
criptográficas dentro de la organización

A.11 Control de accesos

 A..11.2 Gestión de acceso de usuarios

Objetivo de control: Asegurar que el acceso de usuarios es autorizado y prevenir el acceso no

autorizado a los sistemas de información.

 A.11.2.3 Gestión de contraseñas de usuario

Control: Se controlará la asignación de contraseñas a través de un proceso de gestión formal.

 A.11.3 Responsabilidades de los usuarios

Objetivo de control: Prevenir el acceso no autorizado de usuarios el compromiso o robo de la

información o de las instalaciones de procesamiento.

 A.11.3.1 Uso de contraseñas

Control: Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de
contraseñas.

 A.11.5.3 Sistema de gestión de contraseñas

Control: Sistema de gestión de contraseñas proveerán medios efectivos e interactivos, cuyo

objetivo es asegurar contraseñas de calidad.

LICENCIAS

A.9 Seguridad física y del entorno

 A.9.2 Seguridad de los equipos

Objetivos de control: Prevenir pérdidas, daños o comprometer los activos, así como la interrupción
de las actividades de la organización.

 A.9.2.6 Seguridad en el re-uso o eliminación de equipos

Control: Todos los equipos que contienen almacenamiento de datos deben ser revisados con el
fin de asegurar que los datos sensibles y los softwares con licencia han sido removidos o
sobrescritos antes de desecharlos o reutilizarlos.

CÓDIGO DE DESARROLLO