Featured image of post Norma ISO 27001-27002
Ciberseguridad

Norma ISO 27001-27002

ISO 27002 | Buenas prácticas de la seguridad de la información.

Temas

Mapa Conceptual ISO 27000

Figura 1: Mapa conceptual ISO27000 : Elaboración propia con base en datos de: [1], [2], [3], [4].
Figura 1: Mapa conceptual ISO27000 : Elaboración propia con base en datos de: [1], [2], [3], [4].

Norma ISO 27001-27002

Empezar a hablar sobre la norma ISO 27002 requiere tener en cuenta cómo surge y por qué la importancia de esta norma la cual se deriva de las normas (Familia ISO 27000). La organización internacional de normalización (ISO) y la comisión electrónica internacional (IEC), son las encargadas de la creación de normativas internacionales con el fin de aumentar la calidad del sistema de gestión de las organizaciones internacionales y así garantizar una buena experiencia a los consumidores [5], [6].

La ISO27000 contiene un conjunto de normas, entre ellas la ISO 27002, términos y definiciones que dan base para una buena administración del sistema de gestión de la seguridad de la información (SGSI). Para determinar la importancia de las normas referentes a la familia ISO 27000 y SGSI, hay que tener en cuenta el por qué surgen este tipo de normas, actualmente la transformación digital nos permitió llegar a lo que hoy conocemos como teletrabajo, esto debido a la necesidad de las empresas de mantenerse a flote y respetar las normas sanitarias, según una encuesta realizada por ESET (empresa de ciberseguridad), el 86 % considera que el teletrabajo llegó o para quedarse o ser trabajado en modalidad mixta, apenas un 4,68% consideró que todo volverá a la normalidad después de la pandemia [7].

El teletrabajo implica usar nuestra red de uso personal para conectarnos a la red corporativa, que a su vez es la misma a la que conectamos todos nuestros dispositivos IoT, (Smart TV, Computadora, Celular, etc.), y todos estos dispositivos podrían ser la puerta de entrada que utiliza el ciberdelincuente, estos atacantes se aprovechan del auge del teletrabajo para intentar comprometer los sistemas, y no solo comprometer la red corporativa sino también nuestra propia red [7].

Por esto es necesario implementar normas como las de la familia ISO 27000, para asegurar el buen funcionamiento y crecimiento de las empresas u organizaciones, ya que la información digital es uno de los activos más importantes, y por eso el hecho de tomar acciones relacionadas con una buena práctica del sistema de gestión de la seguridad de la información “SGSI” [1, p. 2].

¿Qué es la ISO 27002?

La norma se centra en cualquier tipo de organización o empresa, describe la gestión y buenas prácticas de la seguridad de la información (SGSI) que deben tener las organizaciones, implementar sus propias directrices y controles de seguridad, estos se realizan gracias a una evaluación previa de los entornos en riesgos, activos o recursos más importantes de la organización. A diferencia de la ISO 27001, esta no es certificable, pero apoya y complementa la ISO 27001, que si genera una certificación para las empresas dando así una mayor confiabilidad al consumidor [8], [9], [10].

La norma considera que todos los activos están sujetos a amenazas y son vulnerables a la red, sistemas y personas, con el fin de sacar provecho económico o perjudicar la información digital, una buena gestión de la seguridad de la información reduce el impacto y los riesgos, protegiendo así a la organización, esta se realiza aplicando buenos controles, los cuales deben estar supervisados y mejorándose continuamente, incluir buenas prácticas con el uso del software, hardware, tener adecuados procedimientos organizativos y cumpliendo con las políticas de la organización puede garantizar la realización de adecuados controles de la SGSI [8], [9].

Tener un sistema de gestión de la seguridad de la información (SGSI) exitoso requiere de toda la colaboración de los miembros de la organización, incluso partes externas como proveedores, accionistas etc. Es importante que la empresa u organización establezca requisitos de seguridad principales para poder evaluar las amenazas, realizando una estrategia en conjunto con los objetivos de la empresa para así estimar la probabilidad de que estos se produzcan. Como apoyo para esto se utiliza la norma ISO 27005 que da una orientación más eficaz sobre la gestión de riesgos de seguridad de la información [11], [9], [10].

La norma ISO 27002 cuenta con 18 capítulos o secciones de los cuales del primero al cuarto nos da una introducción, términos y definiciones que ya se analizaron en párrafos anteriores, los capítulos restantes son:

  • Sección 5 “Políticas de la seguridad de la información”: La empresa debe contar con un documento que contenga conceptos y buenas prácticas sobre la seguridad de la información.
  • Sección 6 “Organización de la seguridad de la información”: Establece una estructura para implementar de manera adecuada la seguridad de la información.
  • Sección 7 “Seguridad de los recursos humanos”: La contratación de recursos humanos, tienen que ser adecuadamente analizados, especialmente cuando van a tratar información confidencial, la intención mitigar es el riesgo de robo o fraude de información.
  • Sección 8 “Gestión de activos”: Es conveniente que la organización tenga inventariado todos sus activos como una medida de protección.
  • Sección 9 “Control de acceso”: Es importante que la toda información no esté al alcance de cualquiera, dentro de la organización se debe implementar protocolos que garanticen el acceso autorizado al usuario correspondiente.
  • Sección 10 “Criptografía”: Datos sensibles y confidenciales como información de nómina, personal y demás no pueden estar en texto plano.
  • Sección 11 “Seguridad física y ambiental”: Los equipos u objetos tangibles deben mantenerse en áreas que tengan protección adecuada contra peligros ambientales o físicos.
  • Sección 12 “Seguridad de las operaciones”: Establecer políticas de protección y prevención contra malware, realizar copias de seguridad “Backups”, etc.
  • Sección 13 “Seguridad de las comunicaciones”: Es importante proteger  la información que atraviesa la red, protegiendo comunicaciones tanto internas como externas.
  • Sección 14 “Adquisición, desarrollo y mantenimiento de sistemas”: Su objetivo es garantizar la seguridad de la información en los sistemas dentro de ciclo de vida.
  • Sección 15 “Relaciones con proveedores”: A todo personal externo a la organización se le deben definir límites de acceso a la información.
  • Sección 16 “Gestión de incidentes de seguridad de la información”: La gestión adecuada de imprevistos sobre fuga de información deben ser corregidos en un tiempo hábil y de manera eficiente.
  • Sección 17 “Aspectos de seguridad de la información de la gestión de la continuidad del negocio”: Describe estrategias para preservar la organización, mitigar riesgos en caso de algún incidente como robo de información, actos vandálicos y amenazas similares.
  • Sección 18 “Cumplimiento”: Evita los incumplimientos de la norma garantizando el uso adecuado de las políticas y obligaciones legales.

Las organizaciones pueden utilizar estas directrices para ser un buen desarrollador de un sistema de seguridad de la información “SGSI” [9], [11], [10].

Conclusión

Finalmente debido a todo lo mencionado, los benéficos que aporta la norma ISO 27002 a las organizaciones son variadas sobre todo porque esta norma es reconocida mundialmente y ayuda a la identificación de posibles vulnerabilidades, generando concientización sobre un adecuado uso de la seguridad de la información, tener un certificado de este tipo resalta el compromiso de la organización con empleados, proveedores y todo personal tanto interno como externo, cuidando al mismo tiempo los activos de la organización.

🧾 Referencias

© 2020 - 2022 TheHackNotes | JonatannGuerrero