ISO 27002:2022 (Lilian Perez)

ISO 27002 es un estándar internacional que establece una serie de directrices y mejores prácticas para los controles de seguridad de la información que son utilizadas por la mayoría de las empresas con el fin de gestionar y mitigar los riesgos para sus activos de información. Se diferencia de la ISO 27001 ya que esta es una norma de apoyo que guía cómo se pueden implementar los controles de seguridad de la información.

Dicho estándar cuenta con una estructura dividida en 17 capítulos. Los capítulos iniciales (0-4) ofrecen una introducción, el alcance de la norma, los términos y definiciones relevantes, así como una descripción de la estructura del documento. Los capítulos 5-8 detallan los controles de seguridad de la información, agrupados en controles organizacionales (37), controles de personas (8), controles físicos (14) y controles tecnológicos (34). Finalmente, los anexos A y B proporcionan información adicional sobre el uso de atributos y la correspondencia con otras normas ISO 27000. 

Controles Organizacionales:

Se centra en el marco administrativo y las políticas de una organización para gestionar la seguridad de la información, en ella se establecen la dirección, la estructura y los procesos para asegurar la información. Entre sus controles mas relevantes se encuentran los siguiente:

·         5.1 Políticas de seguridad de la información

·         5.2 Roles y responsabilidades de seguridad de la información

·         5.3 Separación de funciones

·         5.4 Contacto con las autoridades

·         5.15 Seguridad de la información en la gestión de proyectos

Controles de Personas

Enfatiza en los aspectos de seguridad en cuanto al personal de la organización, comenzando desde las contrataciones hasta la finalización del mismo con el fin de asegurar que las personas comprendan sus responsabilidades de seguridad y actúen de manera segura, un ejemplo de dichos controles son los siguientes:

·         6.1 Evaluación de seguridad en el empleo: verificación de antecedentes

·         6.2 Términos y condiciones de empleo

·         6.3 Concienciación, educación y formación en seguridad de la información

·         6.5 Responsabilidades tras la finalización o el cambio de empleo

Controles Físicos

Se enfoca en la protección de los activos físicos de la organización y su entorno para la prevención de acceso físico no autorizado, daño e interferencia a los activos de información. Entre ellos se encuentran puntos esenciales como los siguientes:

·         7.1 Perímetros de seguridad física

·         7.2 Controles de entrada física

·         7.3 Seguridad de oficinas, salas y dependencias

·         7.8 Monitorización

·         7.12 Protección contra amenazas físicas y ambientales

4. Controles Tecnológicos

Se centra en la seguridad de la información en los sistemas, redes y datos de la organización con el fin de proteger la confidencialidad, integridad y disponibilidad de la información a través de medidas técnicas. Algunos controles son los siguientes:

·         8.1 Control de acceso

·         8.3 Gestión de credenciales de acceso

·         8.7 Protección contra malware

·         8.23 Copia de seguridad de la información

·         8.32 Eliminación de información

Para la última versión publicada en  2022 se fusionaron e implementaron nuevos controles, por lo que la norma paso de 114 a 93 controles de los cuales 58 se actualizaron, 24 fueron fusionados y 11 se han establecido.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Normas COBIT 5 y 2019. Qué son, para qué sirven, y cuáles son sus beneficios (Ricardo Marín)

       En el complejo entorno empresarial actual, la información y la tecnología (I&T) son fundamentales para la innovación, el crecimiento y la eficiencia operativa. Para ayudar a las organizaciones a gestionar y gobernar sus activos de I&T de manera efectiva, ISACA (Information Systems Audit and Control Association) ha desarrollado COBIT, un marco de referencia reconocido globalmente , con dos versiones especialmente relevantes, COBIT 5 , y su evolución, COBIT 2019 . Antes de adentrarnos en estas versiones más recientes, es útil entender cómo y por qué surgió este influyente marco.      COBIT no apareció de la noche a la mañana como el extenso marco de gobierno que conocemos hoy. Sus raíces se remontan a principios de la década de 1990, cuando la comunidad de auditoría de sistemas de información identificó la necesidad de contar con un conjunto de controles y objetivos de control estandarizados para los procesos de TI. La primera versión, co...
Leer más

Artículo 9: Delitos Informáticos en Venezuela 2025: Análisis de la Legislación Vigente (Ricardo Marín)

Si bien la tecnología ha impulsado el progreso en Venezuela, también ha abierto un abanico de nuevas formas de delincuencia en el ciberespacio. A pesar de la existencia de la Ley Especial contra los Delitos Informáticos desde 2001, la pregunta que surge en este 2025 es si este marco legal se mantiene a la altura de la sofisticación y diversidad de los fraudes que hoy en día se presentan en el entorno digital venezolano. En opinión de muchos expertos y víctimas, la respuesta podría ser un tanto preocupante, dejando importantes áreas grises sin una clara definición ni sanción. La ley, en su momento, representó un avance al tipificar conductas como el acceso indebido, el daño a sistemas y la falsificación de documentos electrónicos. Sin embargo, el panorama del cibercrimen ha evolucionado a una velocidad vertiginosa, presentando desafíos que quizás la legislación actual no aborda de manera exhaustiva. Uno de los principales puntos de debate radica en la limitada extensión de la ley frent...
Leer más

Ley de Infogobierno y Auditoría de Sistemas en Venezuela (Ricardo Marín)

     La Ley de Infogobierno en Venezuela, formalmente conocida como Decreto con Rango, Valor y Fuerza de Ley sobre Infogobierno, fue promulgada y publicada en la Gaceta Oficial N° 40.274 el 17 de octubre de 2013. Su objetivo principal es establecer el marco normativo para el uso de las Tecnologías de Información (TI) en el Poder Público y el Poder Popular. Busca transformar la gestión pública a través de la eficiencia, la transparencia, la participación ciudadana y la promoción de la soberanía tecnológica, principalmente mediante el uso prioritario de Software Libre y estándares abiertos en la administración pública venezolana. Las implicaciones de esta ley para el país son significativas, ya que mandata una profunda transformación digital en el sector público. Exige que los entes gubernamentales adopten y utilicen las TI para optimizar sus procesos internos, mejorar la prestación de servicios a los ciudadanos (gobierno electrónico), garantizar la interoperabilidad entre ...
Leer más