NORMA ISO 27002:2013
La ISO 27002 es una guía de recomendaciones de buenas prácticas para la gestión de seguridad de la
información.
Cubre no sólo la problemática IT sino que hace una aproximación holística a la seguridad corporativa de la
información, extendiéndose a todas las funcionalidades de una organización en cuanto a que puedan afectar
la seguridad de la información.
Para ello la norma, en la última versión publicada en octubre de 2013 define para su selección un total de
114 controles generales de seguridad a partir de 35 objetivos de control estructurados en 14 áreas, 4 de ellas
técnicas, 9 de gestión y 1 de seguridad física.
La ISO 27002 está redactada bajo la forma verbal "should", un término presente en otras normas ISO y
también del IETF y el IEEE que, por convención, expresa una forma condicional que no implica imposiciones.
Es así como la norma, como ya se dijo, hace precisamente recomendaciones y por lo tanto no establece
requisitos cuyo cumplimiento pudieren certificarse, sino simplemente una serie de controles que pudieren ser
necesarios implementar.
NORMA ISO 27001:2013
En contraposición con la ISO 27002, la ISO 27001 usa la expresión "shall", otro término convencional, en
este caso para expresar mandato u obligación. De esta manera la ISO 27001 especifica los requisitos para establecer un plan de seguridad constituido
por un Sistema de Gestión de Seguridad de la Información, SGSI (o ISMS, por su nombre en inglés)
dentro del contexto de los riesgos totales de negocios de una empresa.
En definitiva, las especificaciones y las implementaciones correspondientes hacen que tanto la auditoría
como la certificación se hagan con referencia a la ISO 27001.
Así las cosas, para fines de Febrero de 2014 se habían emitido más de 20.000 certificaciones
correspondientes a organizaciones de 100 países diferentes.
NORMA ISO 27005
Esta norma se refiere a la valuación y gestión de riesgos y la última versión es de 2011. En gran parte se
basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de
riesgos conforme la norma británica BS 7799-3, que si bien también trata de los riesgos tiene un enfoque
especial en los negocios.
Estrictamente la ISO 27005 hace recomendaciones respecto de un marco de referencia para el análisis y
gestión de riesgos, permitiendo el uso de alguno de los muchos productos comerciales y gratuitos al efecto.
Por otra parte, esta norma reconoce el formato y diagrama de flujo de la ISO 31000 ya mencionada.
De cualquier manera, el alineamiento con la ISO 31000 no significa que la ISO 27005 de Riesgos de
Seguridad de la Información pierda relevancia, ya que su uso se puede justificar puesto que esta norma trata
especialmente los riesgos técnicos o de IT, mientras que la ISO 31000 provee un marco de trabajo más
adecuado para los riesgos de negocios.
Si bien la ISO 27005 promueve el cálculo de riesgos por el método de las frecuencias de ocurrencia e
impactos, igualmente habla de activos, amenazas y vulnerabilidades, incluyendo incluso tres de sus Anexos
con listados y tablas al efecto.
También introduce el concepto de activos dependientes, lo que implica que el valor de un activo pueda
influir en el valor de otro activo, aumentándolo cuando el valor del activo dependiente sea mayor que el valor
del activo del cual depende.
Adicionalmente, en uno de los Anexos de la norma se establece que, además de los tres parámetros
básicos de seguridad (CIA) que establece la ISO 27002, se debieran considerar también la Responsabilidad
(en cuanto a rendir cuentas de las acciones), la Confiabilidad, la Autenticación y su complemento del NoRepudio.
NORMA ISO 27004
Esta norma es una guía que especifica las mediciones y su uso, como base de información del SGSI para
la toma de decisiones al respecto.
Para ello estipula un modelo de atributos de objetos de seguridad y formas de su cuantificación y
medición correspondientes a la efectividad del SGSI y de los controles implementados.
No hay comentarios:
Publicar un comentario