NB/ISO/IEC 27002:2014

FUNDAMENTOS

Ing. Franz Gutiérrez

INTRODUCCIÓN
 ESTRUCTURA NB/ISO/IEC 27002
Total: 14 dominios, 35 Categorías, 114 Controles de Seguridad

Dominios o
clausulas
Categorías de Control

Categorías Uno o mas controles que

de Control Un objetivo de
se pueden aplicar para
control que indica lo
lograr el objetivo de
que se lograra
control
Controles de
Seguridad
ESTRUCTURA
PIRAMIDAL
 UBICACIÓN DE LA GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN EN
UNA EMPRESA
• Básicamente, la seguridad de la
información es parte de la gestión
global del riesgo en una empresa,
existiendo aspectos que se superponen
con la ciberseguridad, con la
continuidad del negocio y con la
tecnología de la información.
CONTROLES DE SEGURIDAD

• La seguridad de la
Información se logra
implementando un
conjunto de
controles
adecuados, que
incluye políticas,
procesos,
procedimientos,
estructuras
organizacionales y
funcionales de
software y hardware.
 CONTROLES DE
SEGURIDAD
• Los controles de deberían diseñar,
implementar, monitorear, revisar y
mejorar donde sea necesario para
garantizar que se cumplen los objetivos
específicos comerciales y de seguridad
de las organizaciones.
CONTROLES
DE
SEGURIDAD:
EJEMPLOS
 Política de Seguridad de la Información
(1Objetivo, 2 controles)

Seguridad de las
Operaciones
(7 objetivos, 14 controles)

Seguridad de la

Humanos
Comunicaciones
(2 objetivos, 7 controles)

en la Organización
Seguridad de Recursos

(3 objetivos, 6 controles)

(2 objetivos, 7 controles)
Organización de la Seguridad
Control de Accesos
(4 objetivos 14 controles)

Criptografía
Cumplimiento

(1 objetivo, 2 controles)
(2 Objetivos, 8 Controles)

Adquisición, Desarrollo y
Mantenimiento de
Sistemas
(2 objetivos, 15 controles)

(3 objetivos, 10 controles)
Administración de Activos
Seguridad Física y Ambiental

(3 objetivos, 13 controles)

Relación con Proveedores

(2 Objetivos, 5 controles)

(1 Objetivo, 7 controles)
Administración de Incidentes de Seguridad

(2 Objetivo, 4 controles)
la Administración de la Continuidad Comercial
Aspectos de la Seguridad de la Información de
Total:

Seguridad
DOMINIOS DE LA NB/ISO/IEC
27002

(objetivos),
14 dominios,
35 Categorías

114 Controles de
 TRABAJO DE INVESTIGACIÓN
Realizar:
Cumplimiento

Aspectos de la Seguridad de la Información de

la Administración de la Continuidad Comercial
- una descripción

Administración de Incidentes de Seguridad

(2 Objetivos, 8 Controles)
de cada uno de
Política de Seguridad de la Información

los objetivos de
(7 objetivos, 14 controles)

(3 objetivos, 13 controles)
(4 objetivos 14 controles)
(2 objetivos, 7 controles)

Adquisición, Desarrollo y
(1 objetivo, 2 controles)
Control de Accesos
control y los

Mantenimiento de
Comunicaciones
Seguridad de las

Seguridad de la

(2 Objetivo, 4 controles)
(1 Objetivo, 7 controles)
(1Objetivo, 2 controles)

Operaciones

controles

Criptografía

Sistemas
- Realizar un

Relación con Proveedores

(2 Objetivos, 5 controles)
ejemplo de
cada unos de los
controles
identificados
Seguridad de Recursos
Humanos
Seguridad Física y Ambiental (videos, fotos,
(2 objetivos, 15 controles)
(3 objetivos, 6 controles) experiencias,
actuaciones,
Organización de la Seguridad
en la Organización
Administración de Activos teatros, etc)
(3 objetivos, 10 controles)
(2 objetivos, 7 controles)
POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN
POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN
ESTABLECIMIENTO DE LAS
POLÍTICAS DE SEGURIDAD
 ESTRUCTURA
DEL
DOCUMENTO
DE LA
POLÍTICA
EJEMPLOS DE POLÍTICAS DE SEGURIDAD
EJEMPLOS DE POLÍTICAS DE SEGURIDAD
EJEMPLOS DE POLÍTICAS DE SEGURIDAD
 ORGANIZACIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
 ORGANIZACIÓN INTERNA

La seguridad de la Información
en una empresa es una factor
clave para determinar la
habilidad de la organización
para proteger la información,
por lo que definir un equipo
encargado del SGSI es
fundamental para la correcta
gestión del sistema.
ORGANIZACIÓN INTERNA
ORGANIZACIÓN INTERNA
ORGANIZACIÓN
INTERNA
• Contacto
con grupos
de interés:
ejemplos
ORGANIZACIÓN INTERNA
 DISPOSITIVOS MÓVILES Y
TELETRABAJO
• Objetivo: garantizar la seguridad del
teletrabajo y el uso de dispositivos
móviles.
• Política de dispositivos Móviles:
• Control: Se debería adoptar una política
y medidas de seguridad de apoyo para
administrar los riesgos que se presentan
con el uso de dispositivos móviles.
 DISPOSITIVOS MÓVILES Y
TELETRABAJO
Teletrabajo
• CONTROL: Se debería implementar una política y medidas que apoyen la
seguridad para proteger la información a la que accede, procesa o
almacena en los sitios de teletrabajo.
RELACIÓN CON PROVEEDORES
 RELACIÓN
CON
PROVEEDORES
RELACIÓN CON PROVEEDORES
 RELACIÓN
CON
PROVEEDORES
RELACIÓN CON PROVEEDORES
 RELACIÓN
CON
PROVEEDORES
RELACIÓN CON PROVEEDORES
RELACIÓN CON PROVEEDORES
RELACIÓN
CON
PROVEED
ORES
RELACIÓN CON PROVEEDORES
 RELACIÓN
CON
PROVEEDOR
ES
RELACIÓN CON PROVEEDORES
CRIPTOGRAFIA
CRIPTOGRAFIA
ASPECTOS DE LA
SEGURIDAD DE LA
INFORMACIÓN DE
LA
ADMINISTRACIÓN
DE LA
CONTINUIDAD
COMERCIAL
 ASPECTOS DE LA
SEGURIDAD DE LA
INFORMACIÓN DE LA
ADMINISTRACIÓN DE
LA CONTINUIDAD
COMERCIAL
ASPECTOS DE LA
SEGURIDAD DE
LA
INFORMACIÓN
DE LA
ADMINISTRACIÓ
N DE LA
CONTINUIDAD
COMERCIAL
ASPECTOS DE LA SEGURIDAD DE LA INFORMACIÓN
DE LA ADMINISTRACIÓN DE LA CONTINUIDAD
COMERCIAL
 ASPECTOS DE LA
SEGURIDAD DE LA
INFORMACIÓN DE
LA
ADMINISTRACIÓN
DE LA
CONTINUIDAD
COMERCIAL
FIN