ISO / IEC 27002:2005

En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC
(International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices
relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000. En este grupo se
encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece
el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información
(SGSI) en las organizaciones.
A través del suministro de una guía completa de implementación, esa norma describe cómo se pueden establecer
los controles. Dichos controles, a su vez, deben ser elegidos en base a una evaluación de riesgos de los activos más
importantes de la empresa. Al contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para
apoyar la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño o gran porte, con o
sin fines de lucro; y no sólo en las empresas de tecnología.

¿Cuáles son sus objetivos?

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la
selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en
la empresa.

ISO 27002: ¿beneficios para las empresas?

 Mejor concienciación sobre la seguridad de la información;
 Mayor control de activos e información sensible;
 Ofrece un enfoque para la implementación de políticas de control;
 Oportunidad de identificar y corregir puntos débiles;
 Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y
procedimientos;
 Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación;
 Mejor organización con procesos y mecanismos bien diseñados y gestionados;
 Promueve reducción de costos con la prevención de incidentes de seguridad de la información;

Cobit: (Objetivos de Control para Información y Tecnologías Relacionadas) es una guía de buenas prácticas para el
control y supervisión TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los
controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de
desempeño y resultados, factores críticos de éxito y modelos de madurez.

GOBIERNO TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la
empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre
TI y sus procesos.

Cuando hablamos de la protección de la información en las organizaciones, no importa si nos referimos a

empresas públicas o privadas, grandes o pequeñas, lucrativas o no, ya que cada una de ellas tiene un objetivo
primordial, que se ve reflejado en su misión, su razón de ser.

La gerencia debe establecer de forma clara las líneas de las políticas de actuación y manifiesta su apoyo y compromiso
a la seguridad de la información, publicando y manteniendo políticas de seguridad en toda la empresa.
 Política de seguridad
Las políticas de seguridad se basan en el contexto en el que opera una empresa y suele ser considerado de acuerdo
a los fines y objetivos de la empresa, las estrategias adoptadas para conseguir sus objetivos, la estructura y los
procesos utilizados por la empresa.
Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información.
El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con respecto a la
seguridad de la información, mediante la formulación y mantenimiento de una política de seguridad de la
información a través de toda la organización.

Documento de la política de seguridad de la información

Se debe crear un documento sobre la política de seguridad de la información de la empresa, que debe contener los
conceptos de seguridad de la información, una estructura para establecer los objetivos y las formas de control, el
compromiso de la dirección con la política, entre tantos otros factores.
 Aprobada por la Alta dirección.
 Distribuida a los empleados y terceros.

Revisión de la política de seguridad de la información

 La Política de seguridad debe revisarse a intervalos o cuando se den cambios significativos para garantizar que es
adecuada, eficaz y suficiente.

Aspectos organizativos
Para implementar la Seguridad de la Información en una empresa, es necesario establecer una estructura para
gestionarla de una manera adecuada. Para ello, las actividades de seguridad de la información deben ser coordinadas
por representantes de la organización, que deben tener responsabilidades bien definidas y proteger las informaciones
de carácter confidencial.
Organización Interna
Se debe establecer una estructura de gestión para iniciar y controlar toda la implementación de Seguridad de
la Información dentro de la organización. Resulta muy conveniente organizar los diferentes debates sobre la
gestión que sean adecuados para la gerencias para aprobar la política de seguridad de la información, asignar
las responsabilidades y coordinar toda la implementación de la seguridad en todos los niveles de la empresa.
Si fuera necesario se debería facilitar el acceso dentro de la organización a un equipo experto de consultores
que se encuentren especializados en Seguridad de la Información. Ya que deben llevarse a cabo diferentes
contactos con los especiales externos en seguridad para estar al día de todas las tendencias de la industria,
la evolución de las normas y lo métodos de evaluación, además debe tener un punto de enlace para tratar
las incidencias de seguridad.
Compromiso de la Dirección con la Seguridad de la Información
- Los miembros de la Dirección deberían respaldar activamente las iniciativas de seguridad demostrando su claro
apoyo y compromiso, asignando y aprobando explícitamente las responsabilidades en seguridad de la información
dentro de la Organización.

Coordinación de la Seguridad de la Información

- Las actividades para la seguridad de la información deberían ser coordinadas por representantes que posean de
cierta relevancia en su puesto y funciones y de los distintos sectores que forman la Organización.
SISTESEG Ejemplo básico en español de política de organización de la seguridad de la información.
Ministerio de Ciencia e Documento de creación del comité de seguridad de la información del Ministerio de Ciencia e
Innovación Innovación de España.

Asignación de responsabilidades
- Se deberían definir claramente todas las responsabilidades para la seguridad de la información.
 Proceso de Autorización de Recursos para el Tratamiento de la Información
- Se debería definir y establecer un proceso de gestión de autorizaciones para los nuevos recursos de tratamiento
de la información.

Acuerdos de Confidencialidad
- Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no
divulgación que contemplan las necesidades de protección de la información de la Organización.
Contacto con las Autoridades
- Se deberían mantener los contactos apropiados con las autoridades pertinentes.

Contacto con Grupos de Interés Especial

- Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.

Revisión Independiente de la Seguridad de la Información

-
- Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su
implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma
independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la
información.

Terceros
Objetivo: Mantener la seguridad de las instalaciones y los recursos de información a los que acceden terceras partes.
El acceso por parte de terceros debe ser controlado. Los controles deben ser acordados y definidos en un contrato
con la tercera parte.
Principios: Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la
organización.
Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar
sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían
definirse y aceptarse en un contrato con la tercera parte
Consejo de implantación: Haga inventario de conexiones de red y flujos de información significativos con 3as partes,
evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos. ¡Esto puede
dar miedo, pero es 100% necesario!
Los acuerdos de tercerización deben contemplar los riesgos, los controles de seguridad y los procedimientos para
sistemas de información, redes y/o ambientes de PC en el contrato entre las partes.
Identificación de los riesgos derivados del acceso de terceros
- Se deberían identificar los riesgos a la información de la organización y a las instalaciones del procesamiento de
información de los procesos de negocio que impliquen a terceros y se deberían implementar controles apropiados
antes de conceder el acceso.

Tratamiento de la seguridad en la relación con los clientes

- Se deberían anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la
información o a los activos de la organización.

Tratamiento de la seguridad en contratos con terceros

- Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la
organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las
instalaciones, deberían cubrir todos los requisitos de seguridad relevantes.
 Gestión de Activos
Activo, según la norma, es cualquier cosa que tenga valor para la organización y que necesita ser protegido.
Pero para ello los activos deben ser identificados y clasificados, de modo que un inventario pueda ser
estructurado y posteriormente mantenido. Además, deben seguir reglas documentadas, que definen qué
tipo de uso se permite hacer con dichos activos
Responsabilidad por los activos
Objetivo: Mantener una adecuada protección de los activos de la organización. Se debe rendir cuentas por todos los
recursos de información importantes y se debe designar un propietario para cada uno de ellos.
Principios: Todos los activos deberían ser justificados y tener asignado un propietario.
Se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad del
mantenimiento de los controles adecuados. La implantación de controles específicos podría ser delegada
por el propietario convenientemente. No obstante, el propietario permanece como responsable de la
adecuada protección de los activos.
El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la aprobación del
órgano de dirección, para el control de la producción, desarrollo, mantenimiento, uso y seguridad de los
activos. El término “propietario” no significa que la persona disponga de los derechos de propiedad reales
del activo.
Consejo de implantación: Elabore y mantenga un inventario de activos de información, mostrando los
propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles
relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).

Inventario de Activos
- Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario
con los más importantes. Recursos de información, recursos de software,activos físicos, servicios.

Responsable de los activos

- Toda la información y activos asociados a los recursos para el tratamiento de la información deberían
pertenecer a una parte designada de la Organización.

Acuerdos sobre el uso adecuado de los activos

- Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y
los activos asociados a recursos de tratamiento de la información.
Clasificación de la información
Objetivo: Garantizar que los recursos de información reciban un apropiado nivel de protección. La información debe
ser clasificada para señalar la necesidad, las prioridades y el grado de protección. La información tiene diversos
grados de sensibilidad y criticidad. Algunos ítems pueden requerir un nivel de protección adicional o un tratamiento
especial.
Pautas de clasificación – Rotulado y manejo de la información: copia; almacenamiento; transmisión por correo, fax,
email. Transmisión oral, incluyendo tel. móvil, correo de voz, contestadores automático
Directrices de Clasificación
- La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para
la Organización.

Marcado y tratamiento de la información

- Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y
tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la Organización.