ISO27002

1. Contexto y Estructura de la Norma

  • Define un marco de referencia para seleccionar e implementar controles de seguridad con base en los requisitos de la organización y las partes interesadas.
  • Los controles se agrupan en dominios para facilitar su aplicación.

2. Organización de la Seguridad de la Información

  • Establece responsabilidades claras y un marco organizacional para gestionar la seguridad de la información.
  • Promueve la asignación de roles, la comunicación efectiva y la coordinación entre las áreas de la organización.

3. Gestión de Activos

  • Garantiza la identificación, clasificación y protección de los activos de información.
  • Establece controles para la correcta eliminación o reutilización de activos.

4. Control de Accesos

  • Asegura que el acceso a la información y a los sistemas esté limitado a usuarios autorizados.
  • Incluye políticas de contraseñas, autenticación y privilegios mínimos.

5. Criptografía

  • Proporciona directrices para el uso de técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de la información.

6. Seguridad Física y Ambiental

  • Establece controles para proteger los activos físicos, como servidores y centros de datos, frente a amenazas ambientales o físicas (ej.: incendios, robos).

7. Seguridad en las Operaciones

  • Define procesos para asegurar la continuidad operativa, como gestión de cambios, monitoreo, auditorías y gestión de vulnerabilidades.

8. Seguridad en las Comunicaciones

  • Protege la información durante la transmisión mediante controles como cifrado, redes seguras y gestión de dispositivos de comunicación.

9. Adquisición, Desarrollo y Mantenimiento de Sistemas

  • Proporciona controles para garantizar que los sistemas sean diseñados e implementados con medidas de seguridad adecuadas.
  • Incluye pruebas de seguridad en el desarrollo de software.

10. Relaciones con Proveedores

  • Define controles para gestionar riesgos relacionados con servicios y productos adquiridos de terceros, garantizando la seguridad en la cadena de suministro.

11. Gestión de Incidentes de Seguridad

  • Establece procesos para identificar, reportar, analizar y responder a incidentes de seguridad de la información.

12. Continuidad del Negocio y Recuperación ante Desastres

  • Asegura que la organización pueda operar durante y después de una interrupción, implementando planes de recuperación y respaldo.

13. Cumplimiento Normativo

  • Garantiza que la organización cumpla con las leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información.

Resumen:

La ISO 27002 proporciona un catálogo de controles prácticos para abordar riesgos específicos y mejorar la seguridad de la información en cualquier tipo de organización. Su implementación ayuda a establecer confianza entre socios, clientes y empleados, garantizando la protección de los activos más críticos.