31
[Año] Daniel Alejandrop Ramírez Quevedo [Nombre de la compañía] [Fecha] [Título del documento]

ISO 27001 - 27002

  • Upload
    xlalusx

  • View
    251

  • Download
    14

Tags:

Embed Size (px)

DESCRIPTION

ISO 27001-27002

Citation preview

ISO 27001ISO/IEC 27001 es un estndar para la seguridad de la informacin (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission.

Origen y evolucinLa ISO 27001 como la conocemos hoy en da, ha sido resultado de la evolucin de otros estndares relacionados con la seguridad de la informacin.Se trata de los siguientes: 1901 Normas BS: La British Standards Institution publica normas con el prefijo BS con carcter internacional. Estas son el origen de normas actuale como ISO 9001, ISO 14001 u OHSAS 18001. 1995- BS 7799-1:1995: Mejores prcticas para ayudar a las empresas britnicas a administrar la Seguridad de la Informacin. Eran recomendaciones que no permitan la certificacin ni estableca la forma de conseguirla. 1998 BS 7799-2:1999: Revisin de la anterior norma. Estableca los requisitos para implantar un Sistema de Gestin de Seguridad de la Informacin certificable. 1999 BS 7799-1:1999: Se revisa. 2000 ISO/IEC 17799:2000: La Organizacin Internacional para la Estandarizacin (ISO) tom la norma britnica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. 2002 BS 7799-2:2002: Se public una nueva versin que permiti la acreditacin de empresas por una entidad certificadora en Reino Unido y en otros pases. 2005 ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estndar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. 2007 ISO 17799: Se renombra y pasa a ser la ISO 27002:2005 2007 ISO/IEC 27001:2007: Se publica la nueva versin. 2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

IMPLEMENTACIN DE LA ISO 27001

La implementacin de la norma ISO 27001 en una empresa se puede hacer de diferentes formas, como grupo hemos tomado en cuenta estos 16 pasos dados por Dejan Kosutic un estudioso del de las ISO, a continuacin los pasos:

1. Obtener el apoyo de la direccin:Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementacin de la norma ISO 27001 ya que la direccin no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero.

2. Tomarlo como un proyecto:Como ya se ha dicho, la implementacin de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o ms de un ao). Si no define claramente qu es lo que se har, quin lo har y en qu perodo de tiempo (por ej., aplicar la gestin del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance:Si se trata de una gran organizacin, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto.

4. Redactar una Poltica de SGSI:La Poltica de SGSI es el documento ms importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas bsicos sobre la seguridad de la informacin en su organizacin. Pero cul es su objetivo si no es minucioso? El objetivo es que la direccin defina qu desea lograr y cmo controlarlo.

5. Definir la metodologa de Evaluacin de riesgos:La evaluacin de riesgos es la tarea ms compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como tambin definir el nivel aceptable de riesgo. Si esas reglas no estn definidas claramente, usted podra encontrarse en una situacin en la que obtendra resultados inservibles.

6. Realizar la evaluacin y el tratamiento de riesgos:Aqu, usted tiene que implementar lo que defini en el paso anterior. En organizaciones ms grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visin integral de los peligros sobre la informacin de su organizacin.El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables.En este paso, se debe redactar un Informe sobre la evaluacin de riesgos que documente todos los pasos tomados durante el proceso de evaluacin y tratamiento de riesgos. Tambin es necesario conseguir la aprobacin de los riesgos residuales; ya sea en un documento separado o como parte de la Declaracin de aplicabilidad.

7. Redactar la Declaracin de aplicabilidad:Luego de finalizar su proceso de tratamiento de riesgos, sabr exactamente qu controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cules son aplicables y cules no, definir los motivos de esa decisin, los objetivos que se lograrn con los controles y describir cmo se implementarn.La Declaracin de aplicabilidad tambin es el documento ms apropiado para obtener la autorizacin de la direccin para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo:Justo cuando pensaba que haba resuelto todos los documentos relacionados con el riesgo, aqu aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cmo se implementarn los controles de la DdA, quin lo har, cundo, con qu presupuesto, etc. Este documento es, en realidad, un plan de implementacin enfocado sobre sus controles; sin el cual, usted no podra coordinar los pasos siguientes del proyecto.

9. Determinar cmo medir la eficacia de los controles:Otra tarea que, generalmente, es subestimada. El tema aqu es, si usted no puede medir lo que ha hecho, cmo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegrese de determinar cmo medir el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaracin de aplicabilidad.

10. Implementacin de controles y procedimientos obligatorios:Es ms fcil decirlo que hacerlo. Aqu es cuando debe implementar loscuatro procedimientos obligatoriosy los controles. Elprocedimiento para el control de la documentacin(procedimiento de gestin de documentacin) debe definir quin es el responsable de aprobar y verificar los documentos, cmo identificar los cambios y el estado de revisin, cmo distribuir los documentos, etc. En otras palabras, este procedimiento debe definir cmo funcionar el flujo vital (el flujo de documentos) de la organizacin.

Elprocedimiento para auditoras internastiene que definir las responsabilidades sobre la planificacin y realizacin de auditoras, cmo se informan los resultados y cmo se llevan los registros. Esto significa que las reglas principales para realizar la auditora deben estar establecidas.

Elprocedimiento para medidas correctivasdebe definir cmo se identifican los incumplimientos y sus causas, cmo se definen e implementan las acciones necesarias, qu registros se llevan y cmo se realiza la revisin de las medidas. El objetivo de este procedimiento es definir cmo cada medida correctiva debera eliminar la causa del incumplimiento para que no ocurra nuevamente.

El procedimiento para las medidas preventivas es casi el mismo que el procedimiento para las medidas correctivas; la nica diferencia es que el primero tiene como objetivo eliminar la causa del incumplimiento para que directamente no se produzca. Debido a sus semejanzas, estos dos procedimientos generalmente se unifican en uno solo.

Esta es, habitualmente, la tarea ms riesgosa de su proyecto ya que, generalmente, implica la aplicacin de nuevas tecnologas pero, sobre todo, la implementacin de nuevas conductas en su organizacin. Muchas veces las nuevas polticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitacin y concienciacin) es vital para prevenir ese riesgo.

11. Implementar programas de capacitacin y concienciacin:Si quiere que sus empleados implementen todas las nuevas polticas y procedimientos, primero debe explicarles por qu son necesarios y debe capacitarlos para que puedan actuar segn lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementacin de la norma ISO 27001.

12. Hacer funcionar el SGSI:Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organizacin. La palabra ms importante aqu es: registros. A los auditores les encantan los registros; sin registros le resultar muy difcil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberan ayudarle. Con ellos, usted puede supervisar qu est sucediendo, sabr realmente si sus empleados (y proveedores) estn realizando sus tareas segn lo requerido.

13. Supervisin del SGSI:Qu est sucediendo en su SGSI? Cuntos incidentes tiene? De qu tipo? Todos los procedimientos se efectan correctamente?Aqu es donde se cruzan los objetivos de los controles con la metodologa de medicin; debe verificar si los resultados que obtiene cumplen con lo que se estableci en los objetivos. Si no se cumplen, es evidente que algo est mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditora interna:Muchas veces las personas no son conscientes de que estn haciendo algo mal (por otro lado, a veces s lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede daar a su organizacin, por eso debe realizar auditoras internas para descubrir este tipo de cosas. Lo importante aqu no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas.

15. Revisin por parte de la direccin:La direccin no tiene que configurar el cortafuegos, pero s debe saber qu est sucediendo en el SGSI; es decir, si todo el mundo ejecut sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la direccin debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas:El objetivo del sistema de gestin es garantizar que todo lo que est mal (las denominadas no conformidades) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemticamente; es decir, que se identifique la raz de una no conformidad y se solucione y se controle.

CERTIFACIN DE LA ISO 27001

Existen dos tipos de certificados ISO 27001: (a) para lasorganizacionesy (b) paralas personas. Las organizaciones pueden obtener la certificacin para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado.Para obtener la certificacin comoorganizacin, se debe adecuadamente y luego se debe aprobar la auditora que realiza la entidad de certificacin. La auditora de certificacin se realiza siguiendo estos pasos:

1 paso de la auditora (revisin de documentacin): los auditores revisarn toda la documentacin. 2 paso de la auditora (auditora principal): los auditores realizarn la auditora in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentacin del SGSI. Visitas de supervisin: despus de que se emiti el certificado, y durante su vigencia de 3 aos, los auditores verificarn si la empresa mantiene su SGSI.

Proceso de certificacin ISO 27001Se divide en dos etapas: Etapa 1 Etapa 2 de auditora y de auditora.

Etapa 1 de la auditora (tambin llamado revisin de documentacin) el auditor de certificacin comprueba si la documentacin cumple con la norma ISO 27001.

Etapa 2 de la auditora (tambin llamada auditora Principal) el auditor comprueba si todas sus actividades cumplen con las normas ISO 27001 y su documentacin.

Por lo tanto, es necesario prestar atencin tanto a escribir documentacin apropiada para sus necesidades, y para comprometerse realmente a seguridad de la informacin puesta en prctica en su empresa.

Despus de terminar toda su documentacin y su aplicacin, es necesario realizar estos pasos obligatorios en su proyecto ISO 27001:

Auditora interna. Revisin de gestin. Las acciones correctivas y preventivas.

El propsito de la auditora interna es que alguien controles independientes si su Sistema de Gestin de Seguridad de la Informacin (SGSI) funciona correctamente.

Revisin por la direccin es en realidad una manera formal para la gestin de tener en cuenta todos los hechos relevantes sobre seguridad de la informacin y tomar decisiones apropiadas. El punto de la norma ISO 27001 es llegar a este tipo de decisiones, como parte de un proceso normal de toma de decisiones.

Por ltimo, la empresa tiene que corregir todos los problemas detectados por los auditores internos, gerentes o alguien ms, y documentar cmo se resuelven estos problemas - este proceso se llama acciones correctivas. Se recomienda tomar las medidas preventivas tambin - para tratar de prevenir los problemas antes de que ocurran (algo que el auditor de certificacin apreciar mucho).

Las personaspueden asistir a diversos cursos para obtener certificados. Los ms populares son:

Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear cmo realizar auditoras de certificacin y est orientado a auditores y consultores. Curso de Implementador Principal de ISO 27001: este curso de 5 das le ensear cmo implementar la norma y est orientado a profesionales y consultores en seguridad de la informacin. Curso de auditor interno en ISO 27001: este curso de 2 3 das le ensear los conceptos bsicos de la norma y cmo llevar a cabo una auditora interna; est orientado a principiantes en este tema y a auditores internos.

BENEFICIOS ISO/IEC 27001Losbeneficiosque aporta la implantacin de la ISO 27001 se centran en los siguientes campos:

En elmbito de la organizacin, Probablemente, ste sea el beneficio ms subestimado; pero si su empresa ha tenido un crecimiento continuo durante los ltimos aos, es posible que tenga problemas para determinar quin decide qu cosas, quin es responsable de determinados activos de la informacin, quin debe autorizar el acceso a los sistemas de informacin, etc.La norma ISO 27001 es especialmente til para resolver estas cuestiones: le obligar a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudar a reforzar su organizacin interna.

En elcumplimiento legalde las exigencias, manifestndose la conformidad de la empresa en el cumplimiento de los requisitos legales que le sean de aplicacin para la regin en la que la organizacin tenga su domicilio y para la actividad que realice. No se debe olvidar que las empresas se encuentran integradas en un entorno que les ofrece las ventajas que van asociadas con la situacin y el mercado, pero tambin les obliga a seguir unas determinadas obligaciones que son de obligado cumplimiento y que abarcan varios campos de actuacin. La organizacin debe aprovechar los beneficios que estn a su alcance, pero tambin debe cumplir con las leyes y obligaciones que le son de aplicacin, sea en el campo que sea.

En elmbito funcional, ya que se desarrolla una adecuada gestin de los riesgos.Si una organizacin debe cumplir con diversas normas sobre proteccin de datos, privacidad y control de TI (especialmente si se trata de una organizacin financiera, de salud o gubernamental), la norma ISO 27001 puede aportar la metodologa que permita hacerlo de la manera ms eficiente. La empresa conoce de forma exhaustiva su organizacin y los sistemas de informacin que aplican, los problemas que se producen y los medios de proteccin que se aplican, para as terminar garantizando la mejor disponibilidad de los materiales y datos, y asegurando su continuidad sin alteraciones perniciosas no controladas.

En elaspecto comercial, en un mercado cada vez ms competitivo, a veces es muy difcil encontrar algo que lo diferencie ante la percepcin de sus clientes. La norma ISO 27001 puede ser un verdadero punto a favor, especialmente si usted administra informacin sensible de sus clientes. Se genera credibilidad y confianza entre nuestros clientes. Estamos en una sociedad en la que la falta de confianza de nuestros clientes afecta a nuestras ventas de la misma manera que la calidad y funcionalidad de nuestros productos, y por lo tanto, se debe cuidar tanto un aspecto como el otro.

En elaspecto financiero, las organizaciones consiguen una reduccin de los costes vinculados a los incidentes y se consigue disminuir las primas de los seguros. No slo debemos pensar que solo son importantes los seguros relacionados con los accidentes en el trabajo, sino que la informacin que poseemos tambin puede sufrir accidentes que pueden provocar muchos gastos de recuperacin y, en el caso de que sean usados los datos personales o la informacin de forma fraudulenta por un uso indebido de la empresa, tambin puede conllevar multas y el pago de perjuicios bastante considerables.

En elaspecto humano, se produce una sensibilizacin del personal en relacin a la importancia de la correcta manipulacin de la informacin, a la aplicacin adecuada de las medidas de seguridad que deben aplicarse y a las responsabilidades personales y de la empresa con relacin a la informacin de que disponen y a los dueos de dicha informacin.

ISO 27002

El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en1995. En el ao2000laInternational Organization for Standardizationy laComisin Electrotcnica Internacionalpublicaron el estndar ISO/IEC 17799:2000, con el ttulo deInformation Technology - Security Techniques - Code of Practice for Information Security Management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao2005el documento modificado ISO/IEC 17799:2005. Desde el 1 de Julio de 2007, ISO/IEC 27002 es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Actualmente, laltima edicin de 2013 este estndar.Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009. Otros pases donde tambin est publicada en espaol son, por ejemplo,Colombia(NTC-ISO-IEC 27002),Venezuela(Fondonorma ISO/IEC 27002),Argentina(IRAM-ISO-IEC 27002),Chile(NCh-ISO27002),Uruguay(UNIT-ISO/IEC 27002) oPer(como ISO 17799).

Generalidades.La ISO 27002 es una gua de buenas prcticas que describe cules deben de ser los objetivos de control que se deben aplicar sobre la seguridad de la informacin. Funciona de la siguiente manera:1. Las empresas que desean resguardar sus activos de informacin implementan la norma ISO 27001, la cual consiste en la creacin de un Sistema de Gestin de la Seguridad de la Informacin.2. Para evaluar el desempeo del estndar anterior, se utiliza la ISO 27002 en la que estn recopilados los controles que deben ser aplicados para evaluar el desempeo del estndar. Cabe destacar que la ISO 27001 tambin contiene un conjunto de controles; pero estos se refieren a los requisitos para la creacin del SGSI y; por otra parte, los controles especificados en la ISO 27002 sirven para la evaluacin de la misma.En este sentido, la ISO 27002 se utiliza como un documento de referencia y como tal, NO es certificable.

Contenido de la Norma.En total la norma contiene 39 objetivos de control y 133 controles los cuales estn agrupados en 11 dominios.

DOMINIOS DE LA ISO 27002 (2005)

1. Poltica de seguridadSu objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organizacin. Se debe redactar un "Documento de la poltica de seguridad de la informacin." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.Las polticas de seguridad de la informacin no pueden quedar estticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnolgicos o cualquier tipo de cambio que se d. Por ejemplo, si aparece un nuevo virus o nuevas tecnologas que representen riesgos, las polticas de seguridad podran cambiar o ser mejoradas de acuerdo a las necesidades actuales. Un caso prctico sera el aparecimiento de las memorias USB. Antiguamente esa tecnologa no exista, entonces no se esperaba que existieran robos de informacin a travs de puertos USB. Ahora las memorias USB son de uso global y por lo tanto, las polticas de seguridad deberan considerar bloquear puertos USB o algo por el estilo, para no permitir que se extraiga informacin de esa manera de forma ilcita o por personas no autorizadas.2. Aspectos organizativos de la seguridad de la informacinLa organizacin de la seguridad de la informacin se puede dar de dos formas: organizacin interna y organizacin con respecto a terceros.En cuanto a la organizacin interna, se tiene como objetivo manejar la seguridad de la informacin dentro de la organizacin. Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organizacin. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Es fundamental tambin asignar responsabilidades. Es tpica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organizacin tratan de buscar un culpable y quedar libres de todo cargo. Por esa razn se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignacin de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contrato legal. Deben tambin existir acuerdos de confidencialidad. La organizacin en materia de seguridad de la informacin debe tambin considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la informacin y los medios de procesamiento de informacin de la organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. 3. Gestin de activosSe deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificacin de todos los activos. Para esto el departamento de contabilidad tendr que hacer un buen trabajo en cuanto a esta clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin tendr que ser muy metdico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.4. Seguridad ligada a los recursos humanosEl objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar formacin y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este mbito.Tambin se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organizacin afectada de alguna manera en materia de seguridad.5. Seguridad fsica y ambientalLa seguridad fsica y ambiental se divide en reas seguras y seguridad de los equipos. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que cuente con barreras o lmites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que contienen informacin y medios de procesamiento de informacin.Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc. Adems de eso, es necesario considerar la seguridad fsica con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite riesgos. 6. Gestin de comunicaciones y operacionesEl objetivo de esto es asegurar la operacin correcta y segura de los medios de procesamiento de la informacin.En primer lugar, es necesario que los procedimientos de operacin estn bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estn autorizados por la gerencia.Otro aspecto fundamental es la gestin de cambios. Un cambio relevante no se debe hacer jams sin documentarlo, adems de la necesidad de hacerlo bajo la autorizacin pertinente y luego de un estudio y anlisis de los beneficios que traer dicho cambio.Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin. Para ello debe haber una bitcora de accesos, con las respectivas horas y tiempos de acceso, etc.Se deben tambin tener controles de deteccin, prevencin y recuperacin para proteger contra cdigos maliciosos, por ejemplo antivirus actualizados y respaldos de informacin. En cuanto a las redes, es necesario asegurar la proteccin de la informacin que se transmite y la proteccin de la infraestructura de soporte. Debe haber un continuo monitoreo para detectar actividades de procesamiento de informacin no autorizadas. Las auditoras son tambin necesarias.Las fallas deben ser inmediatamente corregidas, pero tambin registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.7. Control de accesoEn primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc.8. Adquisicin, desarrollo y mantenimiento de los sistemas de informacinContemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.Debe existir una validacin adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas criptogrficas en la organizacin, utilizando tcnicas seguras.Deben establecerse procedimientos para el control de la instalacin del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.Se debe restringir el acceso al cdigo fuente para evitar robos, alteraciones, o la aplicacin de ingeniera inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de dao a la propiedad de cdigo fuente con que se cuente.9. Gestin de incidentes en la seguridad de la informacinLa comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la informacin, asegurando una comunicacin tal que permita que se realice una accin correctiva oportuna, llevando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible10. Gestin de la continuidad del negocioLas consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organizacin.Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la informacin. Estos planes no deben ser estticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.11. CumplimientoEs una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificacin de la legislacin aplicable debe estar bien definida.Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de informacin y para la organizacin en general.Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la informacin, y a regulaciones de los controles criptogrficos.

NOVEDADES DE LA ISO 27002:2013 CON RESPECTO A LA ISO 27002:2005

Linkografa:http://www.iso27000.es/herramientas.html#seccion5http://www.iso27001standard.com/es/que-es-iso-27001/http://www.iso27001standard.com/blog/2011/09/13/becoming-iso-27001-certified-how-to-prepare-for-certification-audit/http://nimbosystems.com/wp/?p=52http://www.monografias.com/trabajos67/estandar-internacional/estandar-internacional2.shtml


36C3 – mehr offene Fragen als Antworten...system nach ISO/IEC 27001 in Verbin - dung mit ISO/IEC 27002 und ISO/IEC 27019 implementieren. Nach diesseitigem Kenntnisstand haben alle

36C3 – mehr offene Fragen als Antworten...system nach ISO/IEC 27001 in Verbin - dung mit ISO/IEC 27002 und ISO/IEC 27019 implementieren. Nach diesseitigem Kenntnisstand haben alle

Documents
GOVERNMENT OF BANGLADESH INFORMATION SECURITY MANUAL · GOVERNMENT OF BANGLADESH INFORMATION SECURITY MANUAL ... ISO/IEC 27001:2013, ISO/IEC 27002:2013, and New ... The Government

GOVERNMENT OF BANGLADESH INFORMATION SECURITY MANUAL · GOVERNMENT OF BANGLADESH INFORMATION SECURITY MANUAL ... ISO/IEC 27001:2013, ISO/IEC 27002:2013, and New ... The Government

Documents
INF3510 Information Security Lecture 02: - Information Security … · • ISO 27001 is to be used in conjunction with ISO 27002 . UiO Spring 2015 L02 - INF3510 - 2015 16 ISO/IEC

INF3510 Information Security Lecture 02: - Information Security … · • ISO 27001 is to be used in conjunction with ISO 27002 . UiO Spring 2015 L02 - INF3510 - 2015 16 ISO/IEC

Documents
Information Security - ilta.personifycloud.comilta.personifycloud.com/webfiles/productfiles/1598626/WhySecurity... · •ISO 27001/27002 •NIST 800-30 •FFIEC ... information security

Information Security - ilta.personifycloud.comilta.personifycloud.com/webfiles/productfiles/1598626/WhySecurity... · •ISO 27001/27002 •NIST 800-30 •FFIEC ... information security

Documents
BROCHURE / CHECKLIST: PCI/ISO COMPLIANCE - · PDF fileCHECKLIST: PCI/ISO COMPLIANCE ... (ISO 27001/27002). Use this checklist to provide a high level summary of your status of against

BROCHURE / CHECKLIST: PCI/ISO COMPLIANCE - · PDF fileCHECKLIST: PCI/ISO COMPLIANCE ... (ISO 27001/27002). Use this checklist to provide a high level summary of your status of against

Documents
Compliance Mapping · 2020. 9. 16. · 1 NIST Cybersecurity Framework Function Control Category Control Subcategory Providing eSentire Service ISO 27001 2013 ISO 27002 2013 NIST SP

Compliance Mapping · 2020. 9. 16. · 1 NIST Cybersecurity Framework Function Control Category Control Subcategory Providing eSentire Service ISO 27001 2013 ISO 27002 2013 NIST SP

Documents
Taking ISO/IEC 27002 From The Past Into The Future · 2021. 3. 11. · • ISO 27001 Lead Implementor Information Security Consultant • ISMS implementation • ISMS Audits • Internal

Taking ISO/IEC 27002 From The Past Into The Future · 2021. 3. 11. · • ISO 27001 Lead Implementor Information Security Consultant • ISMS implementation • ISMS Audits • Internal

Documents
ISO/IEC 27001: The Standard - gammassl.co.uk©Gamma Secure Systems Limited, 2007 Agenda Overview Information security ISO/IEC 27001 ISO/IEC 27002 Summary Effective Security in tune

ISO/IEC 27001: The Standard - gammassl.co.uk©Gamma Secure Systems Limited, 2007 Agenda Overview Information security ISO/IEC 27001 ISO/IEC 27002 Summary Effective Security in tune

Documents
ISO 27001 ET 27002 • IMPLÉMENTATION • AUDIT ...multimedia.fnac.com/multimedia/editorial/pdf/9782212135947.pdf · iso 27001 et 27002 • implÉmentation • audit • certification

ISO 27001 ET 27002 • IMPLÉMENTATION • AUDIT ...multimedia.fnac.com/multimedia/editorial/pdf/9782212135947.pdf · iso 27001 et 27002 • implÉmentation • audit • certification

Documents
Healthcare Security Readiness and Maturity Assessment · ISO 27001 and 27002 • ISO 27001 is an international specification for the establishment and operation of an information

Healthcare Security Readiness and Maturity Assessment · ISO 27001 and 27002 • ISO 27001 is an international specification for the establishment and operation of an information

Documents
Working Smarter Not Harder! - Continuum GRC proactive GRC assessment tools available. Working Smarter Not Harder! ... certifications, self-assessments ... COBIT, ISO 27001, ISO 27002,

Working Smarter Not Harder! - Continuum GRC proactive GRC assessment tools available. Working Smarter Not Harder! ... certifications, self-assessments ... COBIT, ISO 27001, ISO 27002,

Documents
Working Smarter Not Harder! - Continuum GRC and proactive GRC tools available. Working Smarter Not Harder! ... ISO 27001, ISO 27002, ISO 27005, NIST, ITIL and all others ... COBIT,

Working Smarter Not Harder! - Continuum GRC and proactive GRC tools available. Working Smarter Not Harder! ... ISO 27001, ISO 27002, ISO 27005, NIST, ITIL and all others ... COBIT,

Documents
ISO21500: Guidance on project management – A Pocket Guide · GUIDANCE ON PROJECT MANAGEMENT A POCKET GUIDE ... ISO 27001/27002 ISO 27002 ISO/IEC 20000 ISPL IT Service CMM ... ISO

ISO21500: Guidance on project management – A Pocket Guide · GUIDANCE ON PROJECT MANAGEMENT A POCKET GUIDE ... ISO 27001/27002 ISO 27002 ISO/IEC 20000 ISPL IT Service CMM ... ISO

Documents
Integration of COBIT, Balanced Scorecard and SSE - …sunsite.informatik.rwth-aachen.de/Publications/CEUR-WS/...frameworks (like ISO 27001, ISO 27002, COBIT, etc.) as indicated by

Integration of COBIT, Balanced Scorecard and SSE - …sunsite.informatik.rwth-aachen.de/Publications/CEUR-WS/...frameworks (like ISO 27001, ISO 27002, COBIT, etc.) as indicated by

Documents
ISO 29100 - PECB there are several existing standards related to security such as (ISO 27001, ISO 27002, and ISO 27018 etc.), ISO/IEC 29100 focuses more on the processing of PII. iso

ISO 29100 - PECB there are several existing standards related to security such as (ISO 27001, ISO 27002, and ISO 27018 etc.), ISO/IEC 29100 focuses more on the processing of PII. iso

Documents
Standardiserad informationssäkerhet inom systemutveckling925523/... · 2016-05-02 · ISO 27001 (version från 2006) och ISO 27002 (version från 2005). Versionerna från 2006 respektive

Standardiserad informationssäkerhet inom systemutveckling925523/... · 2016-05-02 · ISO 27001 (version från 2006) och ISO 27002 (version från 2005). Versionerna från 2006 respektive

Documents
Foundations of Information Security Based on ISO 27001 … · Foundations of Information Security 3rd edition ... templates, free e-books, trainer ... (based on ISO/IEC 27002)

Foundations of Information Security Based on ISO 27001 … · Foundations of Information Security 3rd edition ... templates, free e-books, trainer ... (based on ISO/IEC 27002)

Documents
ISO 27001 - ecfirst.comecfirst.com/pdf/ISO_27001_Solutions.pdf · 27002) training delivered at your site. • A one-day workshop on Getting Started with ISO 27799 that tailors the

ISO 27001 - ecfirst.comecfirst.com/pdf/ISO_27001_Solutions.pdf · 27002) training delivered at your site. • A one-day workshop on Getting Started with ISO 27799 that tailors the

Documents
Mapping EAM Processes to ISM Processes - SWC · Mapping EAM Processes to ISM Processes Mapping TOGAF Process to BSI-IT-Grundschutz Process ... ISO 17799, ISO 27001, ISO 27002, ISO

Mapping EAM Processes to ISM Processes - SWC · Mapping EAM Processes to ISM Processes Mapping TOGAF Process to BSI-IT-Grundschutz Process ... ISO 17799, ISO 27001, ISO 27002, ISO

Documents
CSF Roadmap - HITRUST · CSF Roadmap 2015 and Beyond ... Primary Ref: ISO/IEC 27002:2005 & ISO/IEC 27001:2005 Self Assessment ... • ISO/IEC 27001:2013 (2013)

CSF Roadmap - HITRUST · CSF Roadmap 2015 and Beyond ... Primary Ref: ISO/IEC 27002:2005 & ISO/IEC 27001:2005 Self Assessment ... • ISO/IEC 27001:2013 (2013)

Documents
Information Security Management Qualification using ISO ... · of ISO/IEC 27001, 27002 and the 2014 edition of ISO/IEC 27000 2. Updated to fit with the newly launched ISO/IEC 27001

Information Security Management Qualification using ISO ... · of ISO/IEC 27001, 27002 and the 2014 edition of ISO/IEC 27000 2. Updated to fit with the newly launched ISO/IEC 27001

Documents
Business Beam...ISO/ E-c 27001 To acknowledge the correlation between ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks To understand an auditor's role to:

Business Beam...ISO/ E-c 27001 To acknowledge the correlation between ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks To understand an auditor's role to:

Documents
Copyright protected. Use is for Single Users only via a ... · ISO 20000 ISO 27001/27002 ISPL ... Département Projets d’Administration Electronique) Rédacteur : Romain Hennion

Copyright protected. Use is for Single Users only via a ... · ISO 20000 ISO 27001/27002 ISPL ... Département Projets d’Administration Electronique) Rédacteur : Romain Hennion

Documents
Foundations of Information Security Based on ISO …€¦ · COBIT® e-CF ISO 20000 ISO 27001/27002 ... Foundations of Information Security Based on ISO 27001 and ISO 27002 ... 3.13.1

Foundations of Information Security Based on ISO …€¦ · COBIT® e-CF ISO 20000 ISO 27001/27002 ... Foundations of Information Security Based on ISO 27001 and ISO 27002 ... 3.13.1

Documents
Neues aus der Standardisierung: ISO/IEC 27001 & 27002:2013 ... · xiv-consult GmbH 2.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 2 Awareness Social Engineering

Neues aus der Standardisierung: ISO/IEC 27001 & 27002:2013 ... · xiv-consult GmbH 2.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 2 Awareness Social Engineering

Documents
ISO 27001 - ISACA Puerto RicoAgenda ISO/IEC 27001 and 27002: Evolution The ISO 2700x Family (31 Standards) What is ISO27001 What is ISO27005 What is ISO31000 Relationship between ISO

ISO 27001 - ISACA Puerto RicoAgenda ISO/IEC 27001 and 27002: Evolution The ISO 2700x Family (31 Standards) What is ISO27001 What is ISO27005 What is ISO31000 Relationship between ISO

Documents
PECB Certified ISO/IEC 27701 Lead Implementer · h Learn about the correlation between ISO/IEC 27701, ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks. h

PECB Certified ISO/IEC 27701 Lead Implementer · h Learn about the correlation between ISO/IEC 27701, ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks. h

Documents
PECB Certified ISO/IEC 27701 Lead Auditor 27701.pdf · h Identify the relationship between ISO/IEC 27701, ISO/IEC 27001, ISO/IEC 27002, and other standards and regulatory frameworks

PECB Certified ISO/IEC 27701 Lead Auditor 27701.pdf · h Identify the relationship between ISO/IEC 27701, ISO/IEC 27001, ISO/IEC 27002, and other standards and regulatory frameworks

Documents
Brochure-ISO27001-Lead-Auditor - Business Beam€¦ · ISO/IEC 27001 To acknowledge the correlation between ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks

Brochure-ISO27001-Lead-Auditor - Business Beam€¦ · ISO/IEC 27001 To acknowledge the correlation between ISO/IEC 27001, ISO/IEC 27002 and other standards and regulatory frameworks

Documents
WHY EVERY COMPANY NEEDS A CISO? It offers ISO 27001, ISO 27002, ISO 27005, ISO 20000 and ISO 22301 training and certification services for professionals wanting to support organizations

WHY EVERY COMPANY NEEDS A CISO? It offers ISO 27001, ISO 27002, ISO 27005, ISO 20000 and ISO 22301 training and certification services for professionals wanting to support organizations

Documents