El resumen de los catorce apartados es el siguiente:
1. Políticas de Seguridad de la información: refleja la importancia de disponer de una adecuada política de seguridad, que se encuentre aprobada por la dirección, que sea comunicada a todo el personal, que sea revisada periódicamente y actualizada con los cambios que se vayan produciendo, tanto en el interior como en el exterior.
2. Organización de la Seguridad de la información: busca estructurar un marco de seguridad eficiente mediante los roles, tareas, seguridad y dispositivos móviles.
3. Seguridad relativa a los Recursos Humanos: la mayoría de incidentes en la seguridad tienen origen en un error humano. Por ello es necesario formar al personal correctamente y concienciarles de la importancia de la información.
4. Gestión de activos: considera la información como activo y se centra en cómo se deben establecer las medidas adecuadas para protegerla de los incidentes, rupturas de la seguridad y alteraciones no deseadas.
5. Control de acceso: habrá personal en la organización que necesite mayor acceso a información que otros, por ello se debe controlar de manera adecuada la información a la que puede disponer cada miembro del personal.
6. Criptografía: se debe considerar el uso de la criptografía para proteger y garantizar la autenticidad, confidencialidad e integridad de la información.
7. Seguridad física y Seguridad del entorno: además de proteger los dispositivos ante virus, hackers, etc, se debe evitar dejarlos a disposición de terceras personas externas a la organización.
8. Seguridad de las Operaciones: se centra en la protección técnica del software malicioso, copias de seguridad, gestión de vulnerabilidad, etc.
9. Seguridad de las Comunicaciones: se trata de garantizar la seguridad y la protección de los medios de transmisión de la información.
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información: la seguridad abarca toda la organización y debe encontrarse presente como elemento transversal clave dentro del sistema de gestión.
11. Relaciones de proveedores: se debe establecer medidas de seguridad ante las relaciones con terceras partes como pudieran ser los proveedores.
12. Gestión de incidentes de la Seguridad de la Información: se considera necesario estar preparados para responder rápidamente y de forma eficaz a los incidentes que puedan ocurrir y así prevenirlos en el futuro.
13. Aspectos de Seguridad de la Información para la Gestión de la continuidad del negocio: perder información relevante para la organización y no poder recuperarla puede afectar considerablemente a la continuidad de éste.
14. Cumplimiento: en convivencia con la seguridad de la información se encuentra la legislación, normas y políticas aplicables en este campo y por ello, se debe tener presente que tienen una gran importancia en cualquier sistema de gestión y se debe garantizar su cumplimiento y su actualización constante.
Diferencia entre ISO IEC 27002:2005 e ISO IEC 27002:2013.
A pesar de que el nuevo estándar tiene más contenido, es más corto y centrado que el anterior. El antiguo estándar contaba con 106 páginas mientras que el nuevo cuenta con 78.
ISO IEC 27002:2013 contiene, además, varias subsecciones que tratan sobre a seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), el desarrollo seguro (14.2.1), los principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguro (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguirdad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).
Se debe considerar que la mayoría de las secciones se han reescrito, e incluso, algunas se han dividido o trasladado a otras secciones.
También ha habido cambios en la terminología, por ejemplo, los "privilegios" ahora se denominan "derechos de acceso privilegiado", "contraseñas" se ha sustituido por "información de autenticación", el "código malicioso" ahora es "malware", entre otros.
No hay comentarios:
Publicar un comentario