1. Contexto y Estructura de la Norma
- Define un marco de referencia para seleccionar e implementar controles de seguridad con base en los requisitos de la organización y las partes interesadas.
- Los controles se agrupan en dominios para facilitar su aplicación.
2. Organización de la Seguridad de la Información
- Establece responsabilidades claras y un marco organizacional para gestionar la seguridad de la información.
- Promueve la asignación de roles, la comunicación efectiva y la coordinación entre las áreas de la organización.
3. Gestión de Activos
- Garantiza la identificación, clasificación y protección de los activos de información.
- Establece controles para la correcta eliminación o reutilización de activos.
4. Control de Accesos
- Asegura que el acceso a la información y a los sistemas esté limitado a usuarios autorizados.
- Incluye políticas de contraseñas, autenticación y privilegios mínimos.
5. Criptografía
- Proporciona directrices para el uso de técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de la información.
6. Seguridad Física y Ambiental
- Establece controles para proteger los activos físicos, como servidores y centros de datos, frente a amenazas ambientales o físicas (ej.: incendios, robos).
7. Seguridad en las Operaciones
- Define procesos para asegurar la continuidad operativa, como gestión de cambios, monitoreo, auditorías y gestión de vulnerabilidades.
8. Seguridad en las Comunicaciones
- Protege la información durante la transmisión mediante controles como cifrado, redes seguras y gestión de dispositivos de comunicación.
9. Adquisición, Desarrollo y Mantenimiento de Sistemas
- Proporciona controles para garantizar que los sistemas sean diseñados e implementados con medidas de seguridad adecuadas.
- Incluye pruebas de seguridad en el desarrollo de software.
10. Relaciones con Proveedores
- Define controles para gestionar riesgos relacionados con servicios y productos adquiridos de terceros, garantizando la seguridad en la cadena de suministro.
11. Gestión de Incidentes de Seguridad
- Establece procesos para identificar, reportar, analizar y responder a incidentes de seguridad de la información.
12. Continuidad del Negocio y Recuperación ante Desastres
- Asegura que la organización pueda operar durante y después de una interrupción, implementando planes de recuperación y respaldo.
13. Cumplimiento Normativo
- Garantiza que la organización cumpla con las leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información.
Resumen:
La ISO 27002 proporciona un catálogo de controles prácticos para abordar riesgos específicos y mejorar la seguridad de la información en cualquier tipo de organización. Su implementación ayuda a establecer confianza entre socios, clientes y empleados, garantizando la protección de los activos más críticos.