30 Dic ISO 27002: Buenas

prácticas para gestión de la

seguridad de la información
Posted at 09:31h in Genérico, Aprendizaje y
descubrimiento, Estandarización de seguridad byWillian Pandini 0
Comments
Post disponível em / disponible en / available
in: Português Español English
Tempo de leitura: 8 minutos
La seguridad de la información es un tema que ha ganado cuerpo en los
últimos años, obteniendo espacio en los medios y convirtiéndose en
«commodity», en empresas de los más variados portes y segmentos. En
contrapartida es importante subrayar que la popularización del término
SI (Seguridad de la Información) fue motivada por la elevación en el
número de incidentes de seguridad, ocurridos a nivel mundial. Los
trastornos generados por esos incidentes son variados, generando daños
a la imagen del negocio o fuga de informaciones críticas, lo que puede
resultar en pérdidas financieras sustanciales.

El aumento del número de ocurrencias influye en la percepción de valor

sobre inversiones en SI y hacen que las empresas busquen la
estructuración de procesos para garantizar que sus negocios estén
protegidos contra los más variados tipos de amenazas virtuales.

En medio de este escenario surgió la norma internacional ISO/IEC

27002, que se centra en las buenas prácticas para gestión de la seguridad
de la información. En los días de hoy esa es fundamental para la
consolidación de un Sistema de Gestión de Seguridad de la Información
(SGSI), garantizando la continuidad y el mantenimiento de los procesos
de seguridad, alineados a los objetivos estratégicos de la organización. A
continuación, conozca las principales características de dicha norma, así
como los beneficios asociados a su implantación:

¿Qué es la ISO 27002?

En 1995, las organizaciones internacionales ISO (The International
Organization for Standardization) e IEC (International Electrotechnical
Commission) dieron origen a un grupo de normas que consolidan las
directrices relacionadas al alcance de la Seguridad de la Información,
 siendo representada por la serie 27000. En este grupo se encuentra
la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005),
norma internacional que establece el código de mejores prácticas para
apoyar la implantación del Sistema de Gestión de Seguridad de la
Información (SGSI) en las organizaciones.
A través del suministro de una guía completa de implementación, esa
norma describe cómo se pueden establecer los controles. Dichos
controles, a su vez, deben ser elegidos en base a una evaluación de riesgos
de los activos más importantes de la empresa. Al contrario de lo que
muchos gestores piensan, la ISO 27002 se puede utilizar para apoyar la
implantación del SGSI en cualquier tipo de organización, pública o
privada, de pequeño o gran porte, con o sin fines de lucro; y no sólo en las
empresas de tecnología.

¿Cuáles son sus objetivos?

El principal objetivo de la ISO 27002 es establecer directrices y
principios generales para iniciar, implementar, mantener y mejorar la
gestión de la seguridad de la información en una organización. Esto
también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la
empresa.

ISO 27002: ¿beneficios para las

empresas?
Las ventajas proporcionadas por la certificación ISO 27002 son
representativas para las empresas, sobre todo porque son reconocidas
mundialmente. Conozca algunos beneficios asociados a la aplicación de la
norma:

 Mejor concienciación sobre la seguridad de la información;

 Mayor control de activos e información sensible;
 Ofrece un enfoque para la implementación de políticas de control;
 Oportunidad de identificar y corregir puntos débiles;
 Reducción del riesgo de responsabilidad por la no implementación de un
SGSI o determinación de políticas y procedimientos;
 Se convierte en un diferencial competitivo para la conquista de clientes
que valoran la certificación;
 Mejor organización con procesos y mecanismos bien diseñados y
gestionados;
 Promueve reducción de costos con la prevención de incidentes de
seguridad de la información;
 Conformidad con la legislación y otras reglamentaciones.
¿Cuáles son los principales ítems
que componen la ISO 27002?
La parte principal de la norma se encuentra distribuida en las siguientes
secciones, que corresponden a controles de seguridad de la información.
Es importante recordar que la organización puede utilizar esas
directrices como base para el desarrollo del SGSI. Como sigue:

Sección 5 – Política de Seguridad de la

Información
Se debe crear un documento sobre la política de seguridad de la
información de la empresa, que debe contener los conceptos de seguridad
de la información, una estructura para establecer los objetivos y las
formas de control, el compromiso de la dirección con la política, entre
tantos otros factores.

Sección 6 – Organización de la Seguridad de la

Información
Para implementar la Seguridad de la Información en una empresa, es
necesario establecer una estructura para gestionarla de una manera
adecuada. Para ello, las actividades de seguridad de la información deben
ser coordinadas por representantes de la organización, que deben tener
responsabilidades bien definidas y proteger las informaciones de carácter
confidencial.

Sección 7 – Gestión de activos

Activo, según la norma, es cualquier cosa que tenga valor para la
organización y que necesita ser protegido. Pero para ello los activos
deben ser identificados y clasificados, de modo que un inventario pueda
ser estructurado y posteriormente mantenido. Además, deben seguir
reglas documentadas, que definen qué tipo de uso se permite hacer con
dichos activos.

Sección 8 – Seguridad en recursos humanos

Antes de la contratación de un empleado – o incluso de proveedores – es
importante que sea debidamente analizado, principalmente si se trata de
información de carácter confidencial. La intención de esta sección es
mitigar el riesgo de robo, fraude o mal uso de los recursos. Y cuando el
empleado esté trabajando en la empresa, debe ser consciente de las
amenazas relativas a la seguridad de la información, así como de sus
responsabilidades y obligaciones.

Sección 9 – Seguridad física y del medio

ambiente
Los equipos e instalaciones de procesamiento de información crítica o
sensible deben mantenerse en áreas seguras, con niveles y controles de
acceso apropiados, incluyendo protección contra amenazas físicas y
ambientales.

Sección 10 – Seguridad de las operaciones y

comunicaciones
Es importante que estén definidos los procedimientos y
responsabilidades por la gestión y operación de todos los recursos de
procesamiento de la información. Esto incluye la gestión de servicios
tercerizados, la planificación de recursos de los sistemas para minimizar
el riesgo de fallas, la creación de procedimientos para la generación de
copias de seguridad y su recuperación, así como la administración segura
de las redes de comunicaciones.

Sección 11 – Control de acceso

El acceso a la información, así como a los recursos de procesamiento de la
información y los procesos de negocios, debe ser controlado con base en
los requisitos de negocio y en la seguridad de la información. Debe
garantizarse el acceso de usuario autorizado y prevenido el acceso no
autorizado a los sistemas de información, a fin de evitar daños a
documentos y recursos de procesamiento de la información que estén al
alcance de cualquiera.

Sección 12 – Adquisición, desarrollo y

mantenimiento de sistemas
Los requisitos de seguridad de los sistemas de información deben ser
identificados y acordados antes de su desarrollo y/o de su
implementación, para que así puedan ser protegidos para el
mantenimiento de su confidencialidad, autenticidad o integridad por
medios criptográficos.

Sección 13 – Gestión de incidentes de seguridad

de la información
Los procedimientos formales de registro y escalonamiento deben ser
establecidos y los empleados, proveedores y terceros deben ser
conscientes de los procedimientos para notificar los eventos de seguridad
de la información para asegurar que se comuniquen lo más rápido posible
y corregidos en tiempo hábil.

Sección 14 – Gestión de continuidad del negocio

Los planes de continuidad del negocio deben ser desarrollados e
implementados, con el fin de impedir la interrupción de las actividades
del negocio y asegurar que las operaciones esenciales sean rápidamente
recuperadas.

Sección 15 – Conformidad
Es importante evitar la violación de cualquier ley criminal o civil,
garantizando estatutos, regulaciones u obligaciones contractuales y de
cualesquiera requisitos de seguridad de la información. En caso
necesario, la empresa puede contratar una consultoría especializada, para
que se verifique su conformidad y adherencia a los requisitos legales y
reglamentarios.

Un paso importante para la

seguridad de la información en
entornos corporativos
Seguir los principios de la certificación ISO/IEC 27002 es un paso
altamente relevante para garantizar la seguridad de la información en las
empresas. En este sentido, es primordial resaltar la importancia de
empresas poseer profesionales certificados en sus equipos de seguridad,
dando mayor respaldo al proceso de implantación de las buenas prácticas
relacionadas a la norma, así como la obtención de certificación
corporativa ISO 27001.
¿Ya está certificado ISO 27002? Cuéntenos su experiencia en los
comentarios.
Referencias:
ABNT- Asociación Brasileña de Normas Técnicas. NBR ISO/IEC 27002
– Tecnología de la información – Técnicas de seguridad – Código de
práctica para la gestión de la seguridad de la información. Río de
Janeiro, ABNT, 2005.