ISO 27002

Cuando se habla sobre la seguridad de la informacin nos viene a la cabeza la norma ISO
27001. Esta norma es muy relevante dentro del sector ya que, toma como base todos los
riesgos a los que se enfrenta la organizacin en su da a da, tiene como objetivo principal
establecer, implantar, mantener y mejorar de forma continua la seguridad de la
informacin de la organizacin. Sin embargo, no debemos olvidar el papel que ocupan
otras normas.

La importancia de disponer de una actualizada, completa y veraz informacin es la clave

para la correcta realizacin de todas las actividades de la organizacin, en todas sus
reas, campos y actividades. Sin embargo, es todava mucho ms importante mantener
dicha informacin con seguridad para que no se pierda, se robe o se deteriore de
cualquier forma. Al fin y al cabo, la informacin y los datos de los que se dispone en la
organizacin y que recopila en su da son uno de los activos ms valiosos que pueden
marcar el futuro de la organizacin.

De esta manera, es fcil comprender la importancia de la norma ISO 27001 como Sistema
de Gestin de Seguridad de la Informacin. Sin embargo, es igual de importante el papel
que ocupa dentro de todos los requisitos de la norma ISO 27002 como gua de buenas
prcticas para implantar controles y que garantizarn la seguridad de la informacin
gracias a sus recomendaciones.

La norma ISO 27002 est organizada en 11 captulos que son Polticas de Seguridad,
Organizacin de Seguridad, Gestin de Activos, Seguridad de los Recursos Humanos,
Proteccin Fsica y Ambiental, Gestin de Comunicaciones y Operaciones, Control de
Acceso, Adquisicin, Desarrollo y Mantenimiento de Sistemas, Gestin de los Incidentes
de Seguridad, Gestin de la Continuidad del Negocio, Cumplimiento, en los que se tratan
los distintos criterios a de tener en cuenta en cada tema para llevar adelante una correcta
gestin de seguridad de la informacin. Alcance recomendaciones para la gestin de la
seguridad de la informacin, que sirva de base para el desarrollo de las polticas de
seguridad en las organizaciones.

Como objetivo que tiene la ISO 27002 es preservar la confidencialidad: accesible solo a
aquellas personas autorizadas a tener acceso.

Integridad: exactitud y totalidad de la informacin y los mtodos de procesamiento.

Disponibilidad: Acceso a la informacin y a los recursos relacionados con ella toda vez
que se requiera.
1 Polticas de Seguridad de la Informacin

Dentro de este Dominio es la importancia que ocupa la disposicin de una adecuada

poltica de seguridad, aprobada por la direccin, comunicada a todo el personal, revisada
de forma peridica y actualizada con los cambios que se producen en el interior y en el
exterior.

Debe de incluir:
Objetivos y alcance generales de seguridad
Apoyo expreso de la direccin
Breve explicacin de los valores de seguridad de la organizacin
Definicin de las responsabilidades generales y especficas en materia de gestin
de la seguridad de la informacin.
Referencias a documentos que pueden respaldar la poltica.

Eficacia:
Garantizar que toda la informacin utilizada es necesaria y til para el desarrollo de los
negocios.

Eficiencia
Asegurar que el procesamiento de la informacin se realice mediante una ptima
utilizacin de los recursos humanos y materiales.

Confiabilidad:
Garantizar que los sistemas informticos brindan informacin correcta para ser utilizada
en la operatorio de cada uno de los procesos.
Integridad:
Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de
los negocios en cada uno de los sistemas informticos y procesos transaccionales

Exactitud:
Asegurar que toda la informacin se encentre libre de errores y/o irregularidades de
cualquier tipo.

Disponibilidad:
Garantizar que la informacin y la capacidad de su procesamiento manual y automtico
sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal
que no se interrumpa significativamente la marcha de los negocios.

Legalidad:
Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y/o
transporten, cumplan con las regulaciones legales vigentes en cada mbito.

Confidencialidad:
Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones
accidentes, espionaje industrial, violacin de la privacidad y otras acciones similares de
accesos de terceros no permitidos.

Autorizacin:
Garantizar que todo los accesos a datos y/o transacciones que los utilicen cumplan con
los niveles de autorizacin correspondientes para su utilizacin y divulgacin.

Proteccin Fsica:
Garantizar que todos los medios de procesamiento y/o conservacin de informacin
cuentan con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por
personal no autorizado.

Propiedad:
Asegurar que todos los derechos de propiedad sobre la informacin utilizada por todos
sus empleados en el desarrollo de sus tareas, estn adecuadamente establecidos a favor
de la compaa.
2 Organizacin de la Seguridad de la Informacin

Los controles indicados en este Dominio son: buscan estructurar un marco de

seguridad eficiente tanto mediante los roles, tareas, seguridad, etc. como en los
dispositivos mviles, debe establecerse adecuados foros de gestin de seguridad que
asignen responsabilidad para cada usuario en la organizacin, se debe establecer una
fuente de asesoramiento especializado en materia de seguridad y contactos con
organizaciones externas.

Foros de Gestin:

Aprobar la poltica de seguridad de la informacin

Asignar funciones de seguridad
Actualizarse ante cambios
Coordinar la implementacin
Definir metodologas y procesos especficos de seguridad
Monitorear incidentes de seguridad
Lidera el proceso de concientizacin de usuarios

Principales Roles y Funciones

Sponsoreo y seguimientos: Direccin de la compaa, foro/comit de seguridad

Administracin: Administrador de seguridad
Autorizacin: Dueo de datos
Definicin: rea de Seguridad Informtica, rea de legales
Administracin: Administracin de Seguridad
Cumplimiento directo: Usuarios finales, terceros y personal, rea de Sistemas
Control: Auditoria Interna, Auditoria Externa.
Seguridad Frente al Acceso por parte de Terceros:

El Acceso por parte de Terceros debe ser controlado. Deber llevarse a cabo una
evaluacin de riesgo: determinar las incidencias en la seguridad y los requerimientos de
control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.

Tenemos que tener presente que cada vez es mayor el peso que est ocupando el
teletrabajo dentro de las empresas, y por ello, se deben tener en cuenta todas sus
caractersticas especiales para que ningn momento la seguridad de la informacin de la
que se dispone se vea afectada.

3 Seguridad relativa a los recursos humanos

Si analizamos los incidentes de seguridad que se producen en una organizacin nos
daremos cuenta de que la gran mayora de estos tienen su origen en un error humano. Se
debe concienciar y formar al personal de los trminos de empleo de la informacin en el
desarrollo de sus actividades y la importancia que tiene la informacin en el desarrollo de
sus actividades, adems de la importancia que tiene promover, mantener y mejorar el
nivel de seguridad adecundolo a las caractersticas de los datos y la informacin que
maneja es clave y uno de los objetivos que se debe perseguir.

Capacitacin del Usuario

Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en

materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de
seguridad de la organizacin en el transcurso de sus tareas normales.
Respuesta a incidentes y anomalas en materia de seguridad

Minimizar el dao producido por incidentes y anomalas en materia de seguridad y

monitorear dichos incidentes y aprender de los mismos.
Proceso disciplinario

Debe existir un proceso disciplinario formal para los empleados que violen las polticas y
procedimientos de seguridad de la organizacin.

La norma #ISO27002 como gua de buenas prcticas para implantar controles

CLICK TO TWEET

4 Gestin de activos
Se centra en la atencin en la informacin como activo y en cmo se deben establecer las
medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en la
alteracin no deseada.

Hacer un inventario de los activos de Informacin.

Designar a un propietario para cada uno de ellos.

Hacer la clasificacin de la informacin.

Inventario:

Cada Activo debe ser claramente identificado y su propietario y clasificacin en cuanto a

seguridad deben ser acordados y documentados, juntos con la ubicacin vigente del
mismo
Ejemplo:

Recursos de informacin:
Bases de datos y archivos, documentacin de sistemas, manuales de usuario,
material de capacitacin, procedimientos operativos o de soporte, planes de
continuidad, informacin archivada:
Recursos de Software:
Software de aplicaciones, software de sistemas, herramientas de desarrollo y
utilitarios:

Designar a un propietario para cada recurso de informacin:

Identificar claramente los diversos recursos y procesos de seguridad relacionados

con cada uno de los sistemas.
Designar al responsable de cada recurso o proceso de seguridad y se deben
documentar los detalles de esta responsabilidad
Los niveles de autorizacin deben ser claramente definidos y documentados.

Clasificacin de la Informacin:

Garantizar que los recursos de informacin reciban un apropiado nivel de proteccin.

Se deben utilizar un sistema de clasificacin de la informacin para definir un conjunto

apropiado de niveles de proteccin y comunicar la necesidad de medidas de tratamiento
especial.

La informacin debe ser clasificada para sealar:

La necesidad.
Las prioridades.
El grado de proteccin.

Pautas de Clasificacin:

Considerar las necesidades de la empresa con respecto a la distribucin (uso

compartido) o restriccin de la informacin, e incidencia de dichas necesidades en
las actividades de la organizacin.
La informacin deja de ser sensible o critica despus de un cierto perido de
tiempo.
La clasificacin por exceso (over classification) puede traducirse en gastos
adicionales innecesarios para la organizacin.
La informacin y las salidas de los sistemas que administran datos clasificados
deben ser rotuladas segn su valor y grado de sensibilidad para la organizacin.
 Se debe considerar el nmero de categoras de clasificacin.
La responsabilidad por la definicin de la clasificacin debe ser asignada al
propietario designado de la informacin.

5 Control de acceso

Controlar quien accede a la informacin dentro de un aspecto relevante. Al fin y al cabo no

todas las personas de una organizacin necesitan acceder para realizar su actividad
diarias a todos los datos, sino que tendremos roles que necesitan un mayor acceso y
otros con un acceso mucho ms limitado. Para poder marcar las diferencias, se deben
establecer todos los controles como registro de los usuarios, gestin de los privilegios de
acceso, etc. siendo algunos de los controles que se incluyen en este apartado.

6 Criptografa

En el caso de que estemos tratando la informacin sensible o crtica puede ser

interesante utilizar diferentes tcnicas criptogrficas para proteger y garantizar su
autenticidad, confidencialidad e integridad.

7 Seguridad fsica y del entorno

La seguridad no es solo a nivel tecnolgico sino tambin fsico, es decir, una simple labor
de no dejar las pantallas e impresoras en zonas que sean fcilmente accesibles, por parte
del personal externo los documentos con los que se estn trabajando no slo nos
permitirn gestionar de forma adecuada la seguridad sino que se acabarn convirtiendo
en hbitos que nos aportan eficiencia en la gestin.

Permetro de seguridad fsica

Controles de acceso fsico
Seguridad equipamiento
Suministro de energa
Cableado de energa elctrica y de comunicaciones
Mantenimiento de equipos
Seguridad del equipamiento fuera del mbito de la organizacin
Polticas de escritorios y pantallas limpias
Retiro de bienes

Suministro de Energia

Asegurar el suministro permanente de corriente elctrica, instalacin UPS y generadores

alternativos. Asegurar el combustible necesario para dicho generadores.

Escritorios y pantallas limpias

8 Seguridad de las operaciones

Tiene un marcado componente tcnico entrado en todos los aspectos disponibles como la
proteccin del software malicioso, copias de seguridad, control de software en
explotacin, gestin de vulnerabilidad, etc.

9 Seguridad de las comunicaciones

Partiendo de la base de que la gran mayora de los intercambios de informacin y de

datos en distintas escalas se llevan a cabo mediante las redes sociales, garantizar la
seguridad y proteger de forma adecuada los medios de transmisin de estos datos clave.

10 Adquisiciones, desarrollo y mantenimiento de los sistemas de informacin

La seguridad no es un aspecto de un rea en concreto, ni de un determinado proceso, no

que es general, abarca toda la organizacin y tiene que estar presente como elemento
transversal clave dentro del ciclo de vida del sistema de gestin.

11 Relacin de proveedores

Cuando se establecen las relaciones con terceras partes, como puede ser proveedores,
se deben establecer medidas de seguridad pudiendo ser muy recomendable e incluso
necesario en determinados casos.

12 Gestin de incidentes de seguridad de la informacin

No podemos hablar de controles de seguridad sin mencionar un elemento clave, los

incidentes en seguridad. Y es que, estar preparados para cuando estos incidentes
ocurran, dando una respuesta rpida y eficiente siendo la calve para prevenirlos en el
futuro.

13 Aspectos de seguridad de la informacin para la gestin de la continuidad de negocio

No sabemos lo que necesitbamos un dato hasta que lo hemos perdido. Sufrir una
prdida de informacin relevante y no poder recuperarla de laguna forma puede poner en
peligro la continuidad de negocio de la organizacin.

14 Cumplimiento

No podemos hablar de seguridad de la informacin, sin hablar de legislacin, normas y

polticas aplicables que se encuentre relacionadas con este campo y con las que conviven
en las organizaciones. Debemos tener presente que ocupan un enorme lugar en cualquier
sistema de gestin y deben garantizar que se cumple y que estn actualizados con los
ltimos cambios siendo esencial para no llevarnos sorpresas desagradables.

Software ISO 27001

El estndar internacional ISO 27001, junto con todas las normas que componen su familia,
generan todos los requisitos necesarios para poder implementar un Sistema de Gestin de
Seguridad de la Informacin de una forma rpida y sencilla, adems el Software ISOTools
Excellence para ISO 27001 presta solucin a todas estas cuestiones que se plantean a la hora
de implementar un Sistema de Gestin de Seguridad de la Informacin en una empresa.