La gestión de la seguridad de la información, tanto la norma ISO 27001 como la 27002 tienen un objetivo común: proporcionar un marco de referencia para la definición e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI).
Sin embargo, existe una diferencia importante: la ISO 27001 es una norma certificable, mientras que la ISO 27002 es un compendio de recomendaciones y buenas prácticas.
A través de un SGSI óptimamente diseñado e implantado es posible identificar, eliminar o minimizar las amenazas y peligros, haciéndolos conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada.
Las amenazas se pueden definir como eventos que puede afectar los activos de información y están relacionadas principalmente con: recursos humanos, eventos naturales o fallas técnicas como ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.
No obstante, es frecuente que el peligro se origine en simples despistes o falta de concienciación por parte de algún trabajador de la empresa: uso de una pulsera imantada, utilizar contraseñas inseguras o facilitarlas a personas no autorizadas, etc.
Aspectos claves y novedosos de la ISO 27002
Con un enfoque en el análisis de procesos, los 114 controles de la norma ISO 27002:2013 la convierten en un estándar actualizado a los nuevas necesidades de las empresas, teniendo en cuenta aspectos novedosos como la continuidad del negocio.
La norma ISO 27002 es un código de buenas prácticas para gestionar la seguridad de la información
Es un estándar especialmente útil para los responsables de diseñar, implantar o mantener el SGSI de cualquier organización, independientemente de su sector y tamaño.
Los puntos principales de esta norma son:
- Proporciona una base común para desarrollar las normas de seguridad dentro de las organizaciones.
- Provee de prácticas eficaces para la implantación del SGSI adaptadas al contexto actual: protagonismo de las nuevas tecnologías, ataques informáticos cada vez más sofisticados o imperiosa necesidad de restablecer rápidamente el funcionamiento de una empresa cuando ya se ha producido un incidente.
- Proteger adecuadamente a las empresas.
- Maximizar el retorno de las inversiones y oportunidades de negocio.
- Es un estándar flexible y autónomo, lo que garantiza su adaptación a cualquier tecnología o sistema que ya esté siendo utilizado por la empresa.
Los tres requisitos básicos
La ISO 27001 entiende que el SGSI de la empresa debe no sólo garantizar, sino también fundamentarse, en tres requisitos básicos:
- Confidencialidad. Que la información sea únicamente accesible por las personas que estén autorizadas para ello.
- Disponibilidad. El acceso a la información debe estar siempre accesible en el momento que se necesite.
- Integridad. La información debe mantenerse completa e inalterada y en ningún caso puede ser manipulada sin autorización.
Estructura de la norma
La norma ISO 27002 se compone de 12 secciones que, en conjunto, cubren totalmente la gestión de la seguridad de la información:
- Evaluación y tratamiento de riesgos y amenazas
- Política de seguridad
- Aspectos organizativos para la seguridad
- Clasificación y control de activos
- Seguridad ligada al personal
- Seguridad física y del entorno
- Gestión de comunicaciones y operaciones
- Control de accesos
- Desarrollo y mantenimiento de sistemas
- Gestión de continuidad de negocio
- Conformidad con la legislación
- Gestión de los incidentes de seguridad de la información
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información y para cada uno de los controles (un total de 114) se suministra una guía para su implantación.
Tomado de: https://www.isotools.org/