ISO 27002: Es una gua de buenas prcticas que describe los objetivos de

control y controles recomendables en cuanto a seguridad de la informacin. No

es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios.

Contenido
[ocultar]

1 Surgimiento

2 Alcance

3 Estructura

4 Evaluacin de los riesgos de seguridad

5 Poltica de seguridad

6 Aspectos organizativos de la seguridad de la informacin

7 Gestin de activos

8 Seguridad ligada a los recursos humanos

9 Seguridad fsica y ambiental

10 Gestin de comunicaciones y operaciones

11 Control de acceso

12 Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin

13 Gestin de incidentes en la seguridad de la informacin

14 Gestin de la continuidad del negocio

15 Cumplimiento

16 Fuente

Surgimiento

ISO/IEC 27002: El Estndar Internacional nace bajo la coordinacin de dos

organizaciones:

ISO: International Organization for Standardization.

IEC: International Electrotechnical Commission.

ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC

JTC1 (ISO/IEC Joint Technical Committee). Este comit trata con todos los
asuntos de tecnologa de informacin. La mayora del trabajo de ISO/IEC
JTC1 es hecho por subcomits que tratan con un campo o rea en particular.
Especficamente el subcomit SC 27 es el que se encarga de las tcnicas de
seguridad de las tecnologas de informacin, que es en esencia de lo que trata
el Estndar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC
17799, pero a partir de julio de 2007, adopt un nuevo esquema de numeracin
y actualmente es ISO/IEC 27002.

Alcance
El Estndar Internacional ISO/IEC 27002 va orientado a la seguridad de la
informacin en lasempresas u organizaciones, de modo que las probabilidades
de ser afectados por robo, dao o prdida de informacin se minimicen al
mximo.

Estructura
El Estndar Internacional ISO/IEC 27002 contiene un nmero de categoras de
seguridad principales, entre las cuales se tienen once clusulas:

Poltica de seguridad.

Aspectos organizativos de la seguridad de la informacin.

Gestin de activos.

Seguridad ligada a los recursos humanos.

Seguridad fsica y ambiental.

Gestin de comunicaciones y operaciones.

Control de acceso.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

Gestin de incidentes en la seguridad de la informacin.

Gestin de la continuidad del negocio.

Cumplimiento.

Evaluacin de los riesgos de seguridad

La reduccin de riesgos no puede ser un proceso arbitrario y regido por la
voluntad de los dueos o administradores de la empresa, sino que adems de
seguir medidas adecuadas y eficientes, se deben tener en cuenta los
requerimientos y restricciones de la legislacin y las regulaciones nacionales e
internacionales, objetivos organizacionales, bienestar de clientes y
trabajadores, costos de implementacin y operacin (pues existen medidas de
seguridad de gran calidad pero excesivamente caras, tanto que es ms cara la
seguridad que la propia ganancia de una empresa, afectando la rentabilidad).
Se debe saber que ningn conjunto de controles puede lograr la seguridad
completa, pero que s es posible reducir al mximo los riesgos que amenacen
con afectar la seguridad en una organizacin.

Poltica de seguridad
Su objetivo es proporcionar a la gerencia la direccin y soporte para la
seguridad de la informacin, en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser
creado de forma particular por cada organizacin. Se debe redactar un
"Documento de la poltica de seguridad de la informacin".
Este documento debe ser primeramente aprobado por la gerencia y luego
publicado y comunicado a todos los empleados y las partes externas
relevantes.Las polticas de seguridad de la informacin no pueden quedar
estticas para siempre, sino que por el contrario, tienen que ser continuamente
revisadas y actualizadas para que se mantengan en condiciones favorables y
en concordancia con los cambios tecnolgicos o cualquier tipo de cambio que
se d.

Aspectos organizativos de la seguridad de la

informacin

La organizacin de la seguridad de la informacin se puede dar de dos

formas: organizacin interna y organizacin con respecto a terceros.

Organizacin interna: se tiene como objetivo manejar la seguridad de

la informacin dentro de la organizacin.

Organizacin con respecto a terceros: La organizacin en materia de

seguridad de la informacin debe tambin considerarse respecto a terceros.
El objetivo de esto es mantener la seguridad de la informacin y los medios
de procesamiento de informacin de la organizacin que son ingresados,
procesados, comunicados a, o manejados por, grupos externos. Para ello
se debe comenzar por la identificacin de los riesgos relacionados con los
grupos externos. Se debe estudiar cmo a raz de procesos comerciales
que involucran a grupos externos se les puede estar otorgando acceso que
afecte la seguridad. Esto se puede dar tanto con clientes o con
proveedores. Se debe tener especial cuidado respecto a los contratos que
se hagan con terceros, para no afectar la seguridad de la informacin.

Gestin de activos
Se deben asignar responsabilidades por cada uno de los activos de la
organizacin, as como poseer un inventario actualizado de todos los activos
que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la
clasificacin de todos los activos.

Seguridad ligada a los recursos humanos

El objetivo de esto es asegurar que los empleados, contratistas y terceros
entiendan sus responsabilidades, y sean idneos para los roles para los cuales
son considerados, reduciendo el riesgo de robo, fraude y mal uso de los
medios. Es necesario definir claramente los roles y responsabilidades de cada
empleado. Todo esto no debe ser simplemente mediante acuerdos verbales,
sino que se debe plasmar en el contrato de trabajo. Tambin deben existir
capacitaciones peridicas para concientizar y proporcionar formacin y
procesos disciplinarios relacionados a la seguridad y responsabilidad de los
recursos humanos en este mbito.

Seguridad fsica y ambiental

La seguridad fsica y ambiental se divide en reas seguras y seguridad

de los equipos. Respecto a las reas seguras, se refiere a un permetro de
seguridad fsica que cuente con barreras o lmites tales como paredes, rejas
de entrada controladas por tarjetas o recepcionistas, y medidas de esa
naturaleza para proteger las reas que contienen informacin y medios de
procesamiento de informacin.

Se debe tambin contar con controles fsicos de entrada, tales como

puertas con llave, etc. Adems de eso, es necesario considerar la seguridad
fsica con respecto a amenazas externas y de origen ambiental,
como incendios (para los cuales deben haber extintores adecuados y en los
lugares convenientes), terremotos, huracanes, inundaciones, atentados
terroristas, etc. Deben tambin haber reas de acceso pblico de carga y
descarga, parqueos, reas de visita, entre otros.

Se debe controlar la temperatura adecuada para los equipos, seguridad

del cableado, mantenimiento de equipos, etc. Para todo esto se requerir de
los servicios de tcnicos o ingenieros especializados en el cuidado y
mantenimiento de cada uno de los equipos, as como en la inmediata
reparacin de los mismos cuando sea necesario. La ubicacin de los
equipos tambin debe ser adecuada y de tal manera que evite riesgos.

Gestin de comunicaciones y operaciones

El objetivo de esto es asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
Se deben tener en cuenta los siguientes aspectos:

Los procedimientos de operacin deben estar bien documentados, pues

no basta con tener las ideas en la mente de los administradores, sino que
se deben plasmar en documentos que por supuesto estn autorizados por
la gerencia.

Llevar a cabo la gestin de cambios. Un cambio relevante no se debe

hacer jams sin documentarlo, adems de la necesidad de hacerlo bajo la
autorizacin pertinente y luego de un estudio y anlisis de los beneficios
que traer dicho cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar
los activos sin autorizacin o deteccin.

Es completamente necesario tener un nivel de separacin entre los

ambientes de desarrollo, de prueba y de operacin, para evitar problemas
operacionales.

Si la organizacin se dedica a vender servicios, debe implementar y

mantener el nivel apropiado de seguridad de la informacin y la entrega del
servicio en lnea con los acuerdos de entrega de servicios de terceros.

La proteccin contra el cdigo malicioso y descargable debe servir para

proteger la integridad del software y la integracin con los sistemas
y tecnologas con que ya se cuenta. Se deben tambin tener controles de
deteccin, prevencin y recuperacin para proteger contra cdigos
maliciosos, por ejemplo antivirus actualizados y respaldos de informacin.
Los respaldos de informacin son vitales y deben realizarse con una
frecuencia razonable, pues de lo contrario, pueden existir prdidas de
informacin de gran impacto negativo.

En cuanto a las redes, es necesario asegurar la proteccin de la

informacin que se transmite y la proteccin de la infraestructura de
soporte. Los servicios de red tienen que ser igualmente seguros,
especialmente considerando cmo la tendencia de los ltimos aos se
encamina cada vez ms a basar todas las tecnologas de la informacin a
ambientes en red para transmitir y compartir la informacin efectivamente.
Los sistemas tienen que estar muy bien documentados, detalle a detalle,
incluyendo por supuesto la arquitectura de red con la que se cuenta.

Se tienen que establecer polticas, procedimientos y controles de

intercambio formales para proteger el intercambio de informacin a travs
del uso de todos los tipos de medios de comunicacin.

Cuando se haga uso del comercio electrnico, debe haber una eficiente
proteccin cuando se pasa a travs de redes pblicas, para protegerse de
la actividad fraudulenta, divulgacin no autorizada, modificacin, entre
otros.

Debe haber un continuo monitoreo para detectar actividades de

procesamiento de informacin no autorizadas. Las auditoras son tambin
necesarias.

Las fallas deben ser inmediatamente corregidas, pero tambin

registradas y analizadas para que sirvan en la toma de decisiones y para
realizar acciones necesarias.

Control de acceso

Se debe contar con una poltica de control de acceso. Todo acceso no

autorizado debe ser evitado y se deben minimizar al mximo las
probabilidades de que eso suceda. Todo esto se controla mediante registro
de usuarios, gestin de privilegios, autenticacin mediante usuarios y
contraseas, etc.

Los usuarios deben asegurar que el equipo desatendido tenga la

proteccin apropiada, como por ejemplo la activacin automtica de un
protector de pantalla despus de cierto tiempo de inactividad, el cual
permanezca impidiendo el acceso hasta que se introduzca una contrasea
conocida por quien estaba autorizado para utilizar la mquina desatendida.

Son necesarios controles de acceso a la red, al sistema operativo, a las

aplicaciones y a la informacin. Para todo esto deben existir registros y
bitcoras de acceso.

Deben existir polticas que contemplen adecuadamente aspectos de

comunicacin mvil, redes inalmbricas, control de acceso a ordenadores
porttiles, y teletrabajo, en caso que los empleados de la empresa ejecuten
su trabajo fuera de las instalaciones de la organizacin.

Adquisicin, desarrollo y mantenimiento de los

sistemas de informacin
Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas,
o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino
que la seguridad que ofrecen. Debe existir una validacin adecuada de los
datos de entrada y de salida, controlando el procesamiento interno en las
aplicaciones, y la integridad de los mensajes.

La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas
criptogrficas en la organizacin, utilizando tcnicas seguras.

Garantizar la seguridad de los archivos del sistema es fundamental, por

lo que se debe controlar el acceso a los archivos del sistema y el cdigo
fuente del programa, y los proyectos de tecnologas de informacin y las
actividades de soporte se deben realizar de manera segura.

Deben establecerse procedimientos para el control de la instalacin del

software en los sistemas operacionales. Con esto por ejemplo se evita el
riesgo de realizar instalaciones ilegales o sin las respectivas licencias.

Se debe restringir el acceso al cdigo fuente para evitar robos,

alteraciones, o la aplicacin de ingeniera inversa por parte de personas no
autorizadas, o para evitar en general cualquier tipo de dao a la propiedad
de cdigo fuente con que se cuente.

La seguridad en los procesos de desarrollo y soporte debe considerar

procedimientos de control de cambios, revisiones tcnicas de aplicaciones
tras efectuar cambios en el sistema operativo y tambin restricciones a los
cambios en los paquetes de software. No se tiene que permitir la fuga ni la
filtracin de informacin no requerida.

Contar con un control de las vulnerabilidades tcnicas ayudar a tratar

los riesgos de una mejor manera.

Gestin de incidentes en la seguridad de la

informacin

Se debe trabajar con reportes de los eventos y debilidades de la

seguridad de la informacin, asegurando una comunicacin tal que permita
que se realice una accin correctiva oportuna, llevando la informacin a
travs de los canales gerenciales apropiados lo ms rpidamente posible.

Asegurar que se aplique un enfoque consistente y efectivo a la gestin

de los incidentes en la seguridad de la informacin es elemental.

Se deben establecer mecanismos para permitir cuantificar y monitorear

los tipos, volmenes y costos de los incidentes en la seguridad de la
informacin, siempre con la idea de no volver a cometer los errores que ya
se cometieron, y mejor an, aprender de los errores que ya otros
cometieron.

Gestin de la continuidad del negocio

Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio
y la disponibilidad del servicio debieran estar sujetas a un anlisis del impacto
comercial. Se deben desarrollar e implementar planes para la continuidad del
negocio para asegurar la reanudacin oportuna de las operaciones esenciales.
La seguridad de la informacin debiera ser una parte integral del proceso
general de continuidad del negocio, y otros procesos gerenciales dentro de la
organizacin.

Se debe contar con planes de continuidad del negocio que incluyan la

seguridad de la informacin. Estos planes no deben ser estticos, sino que
deben ser actualizados y ser sometidos a pruebas, mantenimiento y
reevaluacin.

Junto a la gestin de riesgos, debe aparecer la identificacin de eventos

que pueden causar interrupciones a los procesos comerciales, junto con la
probabilidad y el impacto de dichas interrupciones y sus consecuencias
para la seguridad de la informacin. Por supuesto se requieren planes
alternativos y de accin ante tales eventos, asegurando siempre la
proteccin e integridad de la informacin y tratando de poner el negocio en
su estado de operacin normal a la mayor brevedad posible.

Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las
violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y
cualquier requerimiento de seguridad. La identificacin de la legislacin
aplicable debe estar bien definida.

Se deben definir explcitamente, documentar y actualizar todos los

requerimientos legales para cada sistema de informacin y para la
organizacin en general.

Es necesario implementar los procedimientos apropiados para asegurar

el cumplimiento de los requerimientos legislativos, reguladores y
contractuales sobre el uso del material con respecto a los cuales puedan
existir derechos de propiedad intelectual y sobre el uso de productos de
software patentado.

El cumplimiento de los requisitos legales se aplica tambin a la

proteccin de los documentos de la organizacin, proteccin de datos y
privacidad de la informacin personal, prevencin del uso indebido de los
recursos de tratamiento de la informacin, y a regulaciones de los controles
criptogrficos.

Los sistemas de informacin deben estar bajo monitoreo y deben

chequearse regularmente para ver y garantizar el cumplimiento de los
estndares de implementacin de la seguridad.

En cuanto a las auditoras de los sistemas de informacin, se tiene que

maximizar la efectividad de y minimizar la interferencia desde/hacia el
proceso de auditora del sistema de informacin. Durante las auditoras de
los sistemas de informacin deben existir controles para salvaguardar los
sistemas operacionales y herramientas de auditora. Tambin se requiere
proteccin para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditora.

Las actividades y requerimientos de auditora que involucran chequeos

de los sistemas operacionales deben ser planeados y acordados
cuidadosamente para minimizar el riesgo de interrupciones en los procesos
comerciales.