REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR

ELECTIVA VISO/IEC- 27002

INDICE GENERAL

pp.

INTRODUCCIÓN ………………………………………………………………………..1

CONTENIDO……..……………………………………………………………………....2

CONCLUSIÓN……………………………..……....................................………….….9

REFERENCIAS BIBLIOGRÁFICAS.…………………………………………………10

INTRODUCCION

En el mundo de la seguridad informática y en particular para las empresas y

organizaciones relacionadas con las tecnologías de la información, es de gran

importancia contar con procesos y procedimientos establecidos y estudiados, que

garanticen la legalidad de la información, todo ello por la competitividad entre las

organizaciones. Tales procesos deben estar guiados por unos estándares o

normas, bajo los cuales se apoya la gestión de riesgo y el aseguramiento de la

información, que en nuestro caso de estudio y como tema de investigación, se

seleccionó al estándar ISO/ IEC-27002.

Las normas ISO son estándares de seguridad establecidas por la Organización

Internacional para la Estandarización (ISO) y la Comisión Electrotécnica

Internacional (IEC), que se encargan de establecer estándares y guías

relacionados con sistemas de gestión y aplicables a cualquier tipo de

organizaciones internacionales y mundiales, con el propósito de facilitar el

comercio, facilitar el intercambio de información y contribuir a la transferencia de

tecnologías.

En concreto la familia de normas ISO/IEC-27000 representan un conjunto de

estándares de seguridad (desarrollados o en fase de desarrollo), que proporciona

un marco para la gestión de la seguridad.

El mismo contiene las mejores prácticas recomendadas en Seguridad de la

información para desarrollar, implementar y mantener especificaciones para los

Sistemas de Gestión de la Seguridad de la Información (SGSI), utilizables por

cualquier tipo de organización, pública o privada, grande o pequeña.

Surgen entonces las siguientes interrogantes: ¿cuál es la definición del

estándar ISO/IEC-27002 y cuán es su importancia?

1

Responder a estas preguntas, nos conduce al desarrollo de la investigación,

plasmado en el contenido a continuación.

CONTENIDO

ISO/IEC-27002 establece directrices y principios generales para iniciar,

implementar, mantener y mejorar la gestión de seguridad de la información en una

organización. La seguridad de la información se consigue implementando un

conjunto de controles adecuados, como por ejemplo: políticas, procesos,

procedimientos, estructuras organizativas y funciones de software y hardware.

Estos controles se deben establecer, implementar, supervisar, revisar, mejorar y

notificar para garantizar el cumplimiento de los objetivos empresariales y de

seguridad específicos de la organización.

Este estándar surge como consecuencia de la aprobación de la norma

ISO/IEZAC 27001 en octubre del año 2005 y la reserva de la numeración 27.000

para la Seguridad de la Información; por lo que luego el estándar IGFSO/DIEC

17799:2005 pasó a ser renombrado ISO/IEC 27002 en el año 2007. Es por lo

tanto el estándar que antiguamente se denominaba ISO/IEC-17799.

Se señalan su versión, alcance, estructura, evaluación de riesgos de seguridad,

políticas de seguridad, aspectos organizativos de la seguridad de la información,

implementación y análisis FODA.

Versión:

La versión actualizada es la que se corresponde con la generada en el año

2013, la cual describe los trece dominios principales, que a continuación se

señalan:

2

1. Organización de la Seguridad de la Información.

2. Seguridad de los Recursos Humanos.

3. Gestión de los Activos.

4. Control de Accesos.

5. Criptografía.

6. Seguridad Física y Ambiental.

7. Seguridad de las Operaciones: procedimientos y responsabilidades;

protección contra malware; resguardo; registro de actividad y

monitorización; control del software operativo; gestión de las

vulnerabilidades técnicas; coordinación de la auditoría de sistemas de

información.

8. Seguridad de las Comunicaciones: gestión de la seguridad de la red;

gestión de las transferencias de información.

9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de

seguridad de los sistemas de información; seguridad en los procesos de

desarrollo y soporte; datos para pruebas.

10.Relaciones con los Proveedores: seguridad de la información en las

relaciones con los proveedores; gestión de la entrega de servicios por

proveedores.

11.Gestión de Incidencias que afectan a la Seguridad de la Información:

gestión de éste tipo de incidencias y mejoras.

12.Aspectos de Seguridad de la Información para la Gestión de la Continuidad

del Negocio: continuidad de la seguridad de la información; redundancias.

13.Conformidad: conformidad con requisitos legales y contractuales; revisiones

de la seguridad de la información.

3

Dentro de cada especificación, se detallan los objetivos de los distintos

controles para la seguridad de la información. Para cada uno de los controles se

indica asimismo una guía para su implantación. El número total de controles suma

114 entre todas las secciones, aunque cada organización debe considerar

previamente cuántos serán realmente los aplicables según sus propias

necesidades.

Alcance:

Su alcance va orientado a la seguridad de la información en las empresas u

organizaciones, de tal manera que las probabilidades de ser afectados por robo,

daño o pérdida de información se minimicen al máximo.

Estructura:

En cuanto a su estructura, posee categorías de seguridad compuesta por las

siguientes 11 (once) cláusulas:

4

1) Política de seguridad.

2) Aspectos organizativos de la seguridad de la información.

3) Gestión de activos.

4) Seguridad ligada a los recursos humanos.

5) Seguridad física y ambiental.

6) Gestión de comunicaciones y operaciones.

7) Control de acceso.

8) Adquisición, desarrollo y mantenimiento de los sistemas de información.

9) Gestión de incidentes en la seguridad de la información.

10) Gestión de la continuidad del negocio.

11) Cumplimiento.

Evaluación de los riesgos de seguridad:

La evaluación implica el priorizar, cuantificar e identificar los riesgos de

seguridad, para luego aplicar medidas de control que permitan reducir el riesgo de

seguridad de la información y en consecuencia de la organización.

5

Reducir el riesgo de seguridad no depende solamente de quienes tienen esa

tarea como asignación, se deben seguir y aplicar medidas adecuadas y eficientes,

tener en cuenta los requerimientos y restricciones de la legislación y las

regulaciones nacionales e internacionales que conduzcan al logro de los objetivos

organizacionales. De cualquier manera aun cuando se evalúen los riesgos de

seguridad, nunca la seguridad será completa.

Políticas de Seguridad:

Se refiere a un documento manejado por la gerencia de la empresa, donde se

plasmen lineamientos claros de implementación de medidas de seguridad de la

información, compuesto por la definición de seguridad de la información, sus

objetivos y alcances generales, importancia, intención de la gerencia en cuanto al

tema de seguridad de la información, estructuras de evaluación y gestión de

riesgos, explicación de las políticas o principios de la organización, definición de

las responsabilidades individuales en cuanto a la seguridad,. El documento es

estrictamente confidencial, pues si se distribuye fuera de la organización, no

debería divulgar información que afecte de alguna manera a la organización o a

personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar

sus datos personales, etc.).

6

Puede suceder que la empresa posea políticas de seguridad y sin embargo las

mismas no sean aplicadas de manera correcta; por lo que se pondría en riesgo la

seguridad de la información.

Aspectos Organizativos de Seguridad de la Información: Al respecto, existen medidas organizativas internas, que son aquellas que

aplica, distribuye y comparten internamente los miembros de una organización y

las medidas organizativas externas, que son las que se comparten con otras

organizaciones.

Se requiere por lo tanto, un compromiso por parte de la gerencia para apoyar

activamente la seguridad dentro y fuera de la organización. La gerencia debe

invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas

veces la seguridad requiere inversión económica, y parte del compromiso de la

gerencia implica tener un presupuesto especial para seguridad, por supuesto de

una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo,

implementar un método carísimo de seguridad podría ser de gran beneficio, pero

representar un costo demasiado elevado.

7

Organizar foros de gestión adecuados con las gerencias la política de seguridad de la información.

Designar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.

Organización Interna

Implementación:

La implementación del estándar ISO/IEC-27002 se lleva a cabo en sistemas de

gestión y de información básicamente, aplicando los 11 (once) controles o

cláusulas señaladas en la sección Estructura.

Un ejemplo de la implementación de la norma, se puede apreciar en el siguiente

mapa mental.

8

NORMAS TÉCNICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

ISO 27002

REUERIMIENTOSOBJETIVOS

- Evaluación y tratamiento de riesgo.- Establecer políticas de seguridad.- Organización de la seguridad de la

información.- Gestión de activos.- Seguridad de los recursos

humanos.- Seguridad física y del entorno.- Gestión de comunicaciones y

operaciones.- Control de acceso.- Adquisición, desarrollo y

mantenimiento de sistemas de información.

- Gestión de los incidentes.- Gestión de la continuidad del

negocio.- Cumplimiento.

Se establecen directrices y principios para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información.

Análisis FODA:

FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS

Estándar adoptado en Ecuador como NTE ISO/IEC 27002

Por ser internacional se puede aplicar a cualquier institución

En los objetivos de control no se contempla la trazabilidad

Es una norma conceptual, no se tienen las herramientas puntuales para su implementación

Cada control posee su guía de implementación

Para su implementación no se requiere la revisión de los 133 controles, solo los que aplique a la organización

No es una guía madura para el análisis de riesgo

Esta norma no es certificable

Fácil adaptación para cada organización

Guía para mejorar la seguridad de la información

CONCLUSION

La norma o estándar ISO/IEC-27002 proporciona a las empresas,

recomendaciones de las mejores prácticas en la gestión de seguridad de la

información, así como para los interesados y responsables en iniciar, implantar o

mantener sistemas de gestión de la seguridad de la información, siendo para este

estándar la seguridad de la información la preservación de la confidencialidad

(asegurando que sólo quienes estén autorizados pueden acceder a

la información), integridad (asegurando que la información y sus métodos de

procesos sean exactos y completos) y disponibilidad (asegurando que los usuarios

autorizados tienen acceso a la información y a sus activos asociados cuando lo

requieran).

9

Es por ello que el hecho de cumplir a cabalidad con el estándar internacional

ISO/IEC-27002 no garantiza al 100%, el hecho de que no se tendrán problemas

de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es

minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas

originados por la falta de seguridad, al reducir el riesgo de la seguridad de la

información.

REFERENCIAS BIBLIOGRAFICAS

ISO/IEC 17799:2005 Information technology - Security techniques - Code of

practice for information security management.

Romo D., Valarezco J, Universidad Saleciana de Ecuador, Tesis, Ecuador

2012

10