Norma ISO 27002:

El dominio política de
seguridad

ALEIDA NINEL APAZA COLQUE

ANDRÉS GUSTAVO MONTAÑO SUGENO
 Puntos Principales
● Proporciona una base común para desarrollar las normas de seguridad dentro de las
organizaciones.
● Provee de prácticas eficaces para la implantación del SGSI adaptadas al contexto
actual: protagonismo de las nuevas tecnologías, ataques informáticos cada vez más
sofisticados o imperiosa necesidad de restablecer rápidamente el funcionamiento de
una empresa cuando ya se ha producido un incidente.
● Proteger adecuadamente a las empresas.
● Maximizar el retorno de las inversiones y oportunidades de negocio.
● Es un estándar flexible y autónomo, lo que garantiza su adaptación a cualquier
tecnología o sistema que ya esté siendo utilizado por la empresa.
beneficios que brinda la norma ISO 27002 a las
empresas
★ Mejor concienciación sobre la seguridad de la información;
★ Mayor control de activos e información sensible;
★ Ofrece un enfoque para la implementación de políticas de control;
★ Oportunidad de identificar y corregir puntos débiles;
★ Reducción del riesgo de responsabilidad por la no implementación de un SGSI o
determinación de políticas y procedimientos;
★ Se convierte en un diferencial competitivo para la conquista de clientes que valoran
la certificación;
★ Mejor organización con procesos y mecanismos bien diseñados y gestionados;
★ Promueve reducción de costos con la prevención de incidentes de seguridad de
lainformación;
★ Conformidad con la legislación y otras reglamentaciones.
Estructura de la Norma
 Estructura de la Norma
Políticas de Seguridad.

Consiste en los controles que se aplican a las políticas de seguridad de la información.

Comprende tanto la elaboración del documento que recopile todas las políticas, como su
revisión.

Se debe crear un documento sobre la política de seguridad de la información de la empresa, que

debe contener los conceptos de seguridad de la información, una estructura para establecer los
objetivos y las formas de control, el compromiso de la dirección con la política, entre tantos
otros factores.
 Estructura de la Norma
Organización de la Seguridad de la Información

Esta sección tiene dos objetivos de control que corresponden a la organización interna de la
información y su trato con terceros.

Para implementar la Seguridad de la Información en una empresa, es necesario establecer una

estructura para gestionarla de una manera adecuada. Para ello, las actividades de seguridad de la
información deben ser coordinadas por representantes de la organización, que deben tener
responsabilidades bien definidas y proteger las informaciones de carácter confidencial.
 Estructura de la Norma
Gestión de Activos

Este dominio posee dos activos que tratan la responsabilidad sobre los activos; es decir, quién es
responsable de qué activo, y la clasificación de la información, que contiene una serie de
directrices para clasificar la información y su posterior manipulación.

Activo, según la norma, es cualquier cosa que tenga valor para la organización y que necesita
ser protegido. Pero para ello los activos deben ser identificados y clasificados, de modo que un
inventario pueda ser estructurado y posteriormente mantenido. Además, deben seguir reglas
documentadas, que definen qué tipo de uso se permite hacer con dichos activos.
 Estructura de la Norma
Seguridad en recursos humanos

Comprende todos los controles que se deben implementar para evitar la fuga de información por
parte del personal de la empresa. El dominio contiene tres controles que corresponden al ciclo
de trabajo de una persona: antes del empleo, durante el empleo y el cese del empleo.

Antes de la contratación de un empleado – o incluso de proveedores – es importante que sea

debidamente analizado, principalmente si se trata de información de carácter confidencial. La
intención de esta sección es mitigar el riesgo de robo, fraude o mal uso de los recursos. Y
cuando el empleado esté trabajando en la empresa, debe ser consciente de las amenazas relativas
a la seguridad de la información, así como de sus responsabilidades y obligaciones.
 Estructura de la Norma
Seguridad física y del medio ambiente

Para que los datos estén debidamente resguardados, es necesario que éstos se encuentren en una
zona segura y con los equipos adecuados; debidamente preparados para ejecutar la tarea
encomendada. Este dominio comprende los controles necesarios tanto para la preparación de
áreas seguras, como para el emplazamiento y protección de equipos.

Los equipos e instalaciones de procesamiento de información crítica o sensible deben

mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo
protección contra amenazas físicas y ambientales.
 Estructura de la Norma
Seguridad de las operaciones y comunicaciones

Este dominio es el más largo de toda la norma y comprende diez objetivos de control que
aseguran una comunicación efectiva entre los sistemas de información; así como
asegura todas las operaciones que conlleven un intercambio de información, como: servicios de
e-commerce, redes de datos, entre otros.

Es importante que estén definidos los procedimientos y responsabilidades por la gestión y

operación de todos los recursos de procesamiento de la información. Esto incluye la gestión de
servicios tercerizados, la planificación de recursos de los sistemas para minimizar el riesgo de
fallas, la creación de procedimientos para la generación de copias de seguridad y su
recuperación, así como la administración segura de las redes de comunicaciones.
 Estructura de la Norma
Control de Acceso

Es lógico pensar que; en una empresa, no todos los usuarios deben tener acceso a toda la
información de la empresa; sino que cada usuario debe acceder únicamente a la información con
la que trabaja. Para ello, se establecen 6 objetivos de control que definen la meta que se ha de
alcanzar mediante la gestión de los accesos de usuario y la concesión de privilegios.

El acceso a la información, así como a los recursos de procesamiento de la información y los

procesos de negocios, debe ser controlado con base en los requisitos de negocio y en la
seguridad de la información. Debe garantizarse el acceso de usuario autorizado y prevenido el
acceso no autorizado a los sistemas de información, a fin de evitar daños a documentos y
recursos de procesamiento de la información que estén al alcance de cualquiera.
 Estructura de la Norma
Adquisición, desarrollo y mantenimiento de sistemas

Para que la información de una empresa esté debidamente resguardada, es necesario que el
sistema de seguridad que se ha implementado esté en una continua revisión. Para ello, se
plantean 6 objetivos de control sobre los cuales ha de guiarse el tratamiento de los SGSI.

Los requisitos de seguridad de los sistemas de información deben ser identificados y acordados
antes de su desarrollo y/o de su implementación, para que así puedan ser protegidos para el
mantenimiento de su confidencialidad, autenticidad o integridad por medios criptográficos.
 Estructura de la Norma
Gestión de incidentes de seguridad de la información

Al implementar un sistema de gestión de la Seguridad de la Información, cualquier incidente

implica un fallo en el mismo y ha de ser controlado correctamente para que no afecte otras áreas
de la organización. Se plantean 2 objetivos: el primero está relacionado con la identificación de
los puntos débiles del SGSI y el segundo con la gestión de incidentes y la implementación de
mejoras al sistema.

Los procedimientos formales de registro y escalonamiento deben ser establecidos y los

empleados, proveedores y terceros deben ser conscientes de los procedimientos para notificar
los eventos de seguridad de la información para asegurar que se comuniquen lo más rápido
posible y corregidos en tiempo hábil.
 Estructura de la Norma
Gestión de continuidad del negocio

Los planes de continuidad del negocio deben ser desarrollados e implementados, con el fin de
impedir la interrupción de las actividades del negocio y asegurar que las operaciones esenciales
sean rápidamente recuperadas.

Este dominio tiene un solo objetivo y consiste en el alineamiento de los objetivos del SGSI con
los objetivos de la compañía.
 Estructura de la Norma
Cumplimiento

se plantea como una evaluación. Se evalúan distintos factores: requisitos legales, normas de
seguridad y cumplimiento técnico, y auditorías.

Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos,

regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la
información. En caso necesario, la empresa puede contratar una consultoría especializada, para
que se verifique su conformidad y adherencia a los requisitos legales y reglamentarios.
Estructura de la Norma
Estructura de la Norma
 Conclusión

la ISO 27002 sirve como un punto de información de la serie de

normas 27000. Evalúa y rectifica su implementación mediante
la aplicación de objetivos de control. Dichos objetivos han de
ser cumplidos para garantizar la correcta implantación de las
normas; así como el funcionamiento de la empresa en cuanto a
la seguridad de la información.
Extra
 Referencias

★ ISO27002.ES - https://iso27002.wiki.zoho.com/ISO-27002.html

★ ISO27000.ES - http://www.iso27000.es/index.html

★ Online Browsing Platform (OBP) - https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-

2:v1:en

★ NORMAS ISO - http://iso-actual.blogspot.com/p/isoiec-17799.html