ISO / IEC 27002 ISO (la Organizacin Internacional de Estandarizacin) e IEC (la Comisin Electrotcnica Internacional) forman el sistema

especializado para la estandarizacin mundial. L os organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estndares Internacionales a travs de los comits establecidos por la organizacin r espectiva para lidiar con reas particulares de la actividad tcnica. ISO / IEC 27002 es una seguridad de la informacin estndar publicado por la Organi zacin Internacional de Normalizacin (ISO) y por la Comisin Electrotcnica Internacion al (IEC), titulada Tecnologa de la informacin - Tcnicas de seguridad - Cdigo de buen as prcticas para la gestin de seguridad de la informacin. La norma ISO 27002 es el cambio de nombre de la norma ISO 17799, y es un cdigo de prcticas para la seguridad de la informacin. Bsicamente, se describen cientos de p osibles controles y mecanismos de control, que pueden ser implementadas, en teora , con sujecin a la orientacin proporcionada en la norma ISO 27001. ISO / IEC 27002 proporciona las mejores prcticas recomendaciones sobre la gestin d e seguridad de la informacin para su uso por los responsables de iniciar, impleme ntar o mantener la seguridad de la informacin Sistemas de Gestin de la Informacin ( SGSI). Seguridad de la informacin se define en el estndar en el contexto de la trad a de la CIA a su vez las norma "las pautas establecidas y los principios general es para iniciar, implementar, mantener y mejorar la gestin de seguridad de la inf ormacin dentro de una organizacin". Los controles reales que figuran en la norma e stn destinados a atender las necesidades especficas identificadas a travs de una ev aluacin formal de riesgos. La norma tambin se pretende proporcionar una gua para el desarrollo de "normas de seguridad de la organizacin y prcticas efectivas de gest in de seguridad y para ayudar a construir la confianza en las actividades de inte r-organizacionales".

CONCEPTOS RELEVANTES Vulnerabilidad Es una debilidad o agujero en la seguridad de la informacin Amenaza Es una declaracin intencionada de hacer un dao, como por ejemplo mediante un virus , un acceso no autorizado o robo. Pero no se debe pensar que nicamente personas p ueden ser los causantes de estos daos, pues existen otros factores como los event os naturales, que son capaces de desencadenar daos materiales o prdidas inmaterial es en los activos, y son tambin consideradas como amenazas. Ataque Es una accin intencional e injustificada (desde el punto de vista del atacado). C onsiste en un intento por romper la seguridad de un sistema o de un componente d el sistema. Atacante Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.

ISO / IEC 27002 contiene un nmero de categoras de seguridad principales, entre las

cuales se a) b) c) d) e) f) g) h) i) j) k)

tienen once clusulas: Poltica de seguridad. Aspectos organizativos de la seguridad de la informacin. Gestin de activos. Seguridad ligada a los recursos humanos. Seguridad fsica y ambiental. Gestin de comunicaciones y operaciones. Control de acceso. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. Gestin de incidentes en la seguridad de la informacin. Gestin de la continuidad del negocio. Cumplimiento.

Poltica de seguridad Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Aspectos organizativos de la seguridad de la informacin La organizacin de la seguridad de la informacin se puede dar de dos formas: organi zacin interna y organizacin con respecto a terceros. En cuanto a la organizacin interna, se tiene como objetivo manejar la seguridad d e la informacin dentro de la organizacin. La organizacin en materia de seguridad de la informacin debe tambin considerarse re specto a terceros. El objetivo de esto es mantener la seguridad de la informacin y los medios de procesamiento de informacin de la organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Gestin de activos Se deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer un inventario actualizado de todos los activos que se tienen, a q uien/quienes les pertenecen, el uso que se les debe dar, y la clasificacin de tod os los activos. Para esto el departamento de contabilidad tendr que hacer un buen trabajo en cuanto a esta clasificacin y desglose de activos, y el departamento d e leyes de la empresa tambin tendr que ser muy metdico en estos procesos, ya que lo s activos son todos los bienes y recursos que posee una empresa, incluyendo bien es muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y d e gran importancia. Seguridad fsica y ambiental La seguridad fsica y ambiental se divide en reas seguras y seguridad de los equipo s. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que cue nte con barreras o lmites tales como paredes, rejas de entrada controladas por ta rjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que c ontienen informacin y medios de procesamiento de informacin. Gestin de comunicaciones y operaciones El objetivo de esto es asegurar la operacin correcta y segura de los medios de pr ocesamiento de la informacin.

Control de acceso En primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validacin adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes. Gestin de incidentes en la seguridad de la informacin La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la informacin, aseguran do una comunicacin tal que permita que se realice una accin correctiva oportuna, l levando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validacin adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes. La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas criptogrfica s en la organizacin, utilizando tcnicas seguras. Garantizar la seguridad de los archivos del sistema es fundamental, por lo que s e debe controlar el acceso a los archivos del sistema y el cdigo fuente del progr ama, y los proyectos de tecnologas de informacin y las actividades de soporte se d eben realizar de manera segura. Gestin de incidentes en la seguridad de la informacin La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la informacin, aseguran do una comunicacin tal que permita que se realice una accin correctiva oportuna, l levando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible. Gestin de la continuidad del negocio En esta seccin se describe la relacin entre TI de recuperacin de desastres de plani ficacin, la gestin de la continuidad del negocio y planes de contingencia, que van desde el anlisis y la documentacin a travs de ejercicio regular / prueba de los pl

anes. Los controles estn diseados para minimizar el impacto de los incidentes de s eguridad que se producen a pesar de los controles preventivos se seala en el estnd ar. Cumplimiento El cumplimiento de los requisitos legales La organizacin debe cumplir con la legislacin aplicable, tales como los derechos d e autor, proteccin de datos, la proteccin de los datos financieros y otros registr os vitales, las restricciones a la criptografa, las reglas de la evidencia, etc. El cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico Los gestores y los propietarios de sistemas deben garantizar el cumplimiento de las polticas y normas de seguridad, por ejemplo a travs de revisiones peridicas de la plataforma de seguridad, etc penetracin de las pruebas. Llevado a cabo por los probadores competentes. Sistemas de informacin consideraciones de auditora Las auditoras deben ser cuidadosamente planeadas para minimizar la interrupcin de los sistemas operativos. Potentes herramientas de auditora o instalaciones tambin deben estar protegidas contra el uso no autorizado.