El Estándar Internacional ISO/IEC 27002 nace bajo la coordinación de dos organizaciones:
ISO: International Organization for Standardization.
IEC: International Electrotechnical Commission.
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información, que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002).
El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de de las tecnologías de información, entre los que se destacan los siguientes puntos:
Evaluación de los riesgos de de seguridad: se deben identificar, cuantificar y priorizar los riesgos.
Política de seguridad: deben haber políticas organizacionales claras y bien definidas que regulen el trabajo que se estará realizando en materia de seguridad de la información.
Aspectos organizativos de la seguridad de la información: cómo se trabajará en la seguridad de la información organizativamente, tanto de manera interna (empleados o personal de la organización) como de forma externa o con respecto a terceros (clientes, proveedores, etc.)
Gestión de activos: se debe tener un completo y actualizado inventario de los activos, su clasificación, quiénes son responsables por los activos, etc.
Seguridad ligada a los recursos humanos: especificar las responsabilidades del personal o recursos humanos de una organización, así como los límites que cada uno de ellos tiene con respecto al acceso y manipulación de la información.
Seguridad física y ambiental: consiste en tener una infraestructura física (instalaciones) y ambiental (temperaturas adecuadas, condiciones ideales de operación ideales) adecuadas de modo que no pongan en riesgo la seguridad de la información.
Gestión de comunicaciones y operaciones: asegurar la operación correcta de cada uno de los procesos, incluyendo las comunicaciones y operaciones que se dan en la organización. Esto también incluye la separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.
Control de acceso: deben existir medidas adecuadas que controlen el acceso a determinada información, únicamente a las personas que están autorizadas para hacerlo, utilizando autenticaciones, contraseñas, y métodos seguros para controlar el acceso a la información.
Adquisición, desarrollo y mantenimiento de los sistemas de información: consiste en tomar medidas adecuadas para adquirir nuevos sistemas (no aceptar sistemas que no cumplan con los requisitos de calidad adecuados), haciendo también un eficiente desarrollo y mantenimiento de los sistemas.
Gestión de incidentes en la seguridad de la información: los incidentes se pueden dar tarde o temprano, y la organización debe contar con registros y bitácoras para identificar a los causantes y responsables de los incidentes, recopilar evidencias, aprender de los errores para no volverlos a cometer, etc.
Gestión de la continuidad del negocio: se deben tener planes y medidas para hacerle frente a los incidentes, de modo que el negocio pueda continuar en marcha gracias a medidas alternativas para que un incidente no detenga las operaciones por tiempos prolongados, que no se pierda información, que no se estanquen o detengan las ventas o negocios, etc.
Cumplimiento: debe darse el debido cumplimiento a los requisitos legales, como derechos de propiedad intelectual, derecho a la confidencialidad de cierta información, control de auditorías, etc.
No hay comentarios:
Publicar un comentario