ISO 27002: Buenas prácticas para gestión de la seguridad de la información

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 8 minutos

La seguridad de la información es un tema que ha ganado cuerpo en los últimos años, obteniendo espacio en los medios y convirtiéndose en «commodity», en empresas de los más variados portes y segmentos. En contrapartida es importante subrayar que la popularización del término SI (Seguridad de la Información) fue motivada por la elevación en el número de incidentes de seguridad, ocurridos a nivel mundial. Los trastornos generados por esos incidentes son variados, generando daños a la imagen del negocio o fuga de informaciones críticas, lo que puede resultar en pérdidas financieras sustanciales.

El aumento del número de ocurrencias influye en la percepción de valor sobre inversiones en SI y hacen que las empresas busquen la estructuración de procesos para garantizar que sus negocios estén protegidos contra los más variados tipos de amenazas virtuales.

En medio de este escenario surgió la norma internacional ISO/IEC 27002, que se centra en las buenas prácticas para gestión de la seguridad de la información. En los días de hoy esa es fundamental para la consolidación de un Sistema de Gestión de Seguridad de la Información (SGSI), garantizando la continuidad y el mantenimiento de los procesos de seguridad, alineados a los objetivos estratégicos de la organización. A continuación, conozca las principales características de dicha norma, así como los beneficios asociados a su implantación:

¿Qué es la ISO 27002?

En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000. En este grupo se encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.

A través del suministro de una guía completa de implementación, esa norma describe cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser elegidos en base a una evaluación de riesgos de los activos más importantes de la empresa. Al contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para apoyar la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño o gran porte, con o sin fines de lucro; y no sólo en las empresas de tecnología.

¿Cuáles son sus objetivos?

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.

ISO 27002: ¿beneficios para las empresas?

Las ventajas proporcionadas por la certificación ISO 27002 son representativas para las empresas, sobre todo porque son reconocidas mundialmente. Conozca algunos beneficios asociados a la aplicación de la norma:

  • Mejor concienciación sobre la seguridad de la información;
  • Mayor control de activos e información sensible;
  • Ofrece un enfoque para la implementación de políticas de control;
  • Oportunidad de identificar y corregir puntos débiles;
  • Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y procedimientos;
  • Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación;
  • Mejor organización con procesos y mecanismos bien diseñados y gestionados;
  • Promueve reducción de costos con la prevención de incidentes de seguridad de la información;
  • Conformidad con la legislación y otras reglamentaciones.

¿Cuáles son los principales ítems que componen la ISO 27002?

La parte principal de la norma se encuentra distribuida en las siguientes secciones, que corresponden a controles de seguridad de la información. Es importante recordar que la organización puede utilizar esas directrices como base para el desarrollo del SGSI. Como sigue:

Sección 5 – Política de Seguridad de la Información

Se debe crear un documento sobre la política de seguridad de la información de la empresa, que debe contener los conceptos de seguridad de la información, una estructura para establecer los objetivos y las formas de control, el compromiso de la dirección con la política, entre tantos otros factores.

Sección 6 – Organización de la Seguridad de la Información

Para implementar la Seguridad de la Información en una empresa, es necesario establecer una estructura para gestionarla de una manera adecuada. Para ello, las actividades de seguridad de la información deben ser coordinadas por representantes de la organización, que deben tener responsabilidades bien definidas y proteger las informaciones de carácter confidencial.

Sección 7 – Gestión de activos

Activo, según la norma, es cualquier cosa que tenga valor para la organización y que necesita ser protegido. Pero para ello los activos deben ser identificados y clasificados, de modo que un inventario pueda ser estructurado y posteriormente mantenido. Además, deben seguir reglas documentadas, que definen qué tipo de uso se permite hacer con dichos activos.

Sección 8 – Seguridad en recursos humanos

Antes de la contratación de un empleado – o incluso de proveedores – es importante que sea debidamente analizado, principalmente si se trata de información de carácter confidencial. La intención de esta sección es mitigar el riesgo de robo, fraude o mal uso de los recursos. Y cuando el empleado esté trabajando en la empresa, debe ser consciente de las amenazas relativas a la seguridad de la información, así como de sus responsabilidades y obligaciones.

Sección 9 – Seguridad física y del medio ambiente

Los equipos e instalaciones de procesamiento de información crítica o sensible deben mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo protección contra amenazas físicas y ambientales.

Sección 10 – Seguridad de las operaciones y comunicaciones

Es importante que estén definidos los procedimientos y responsabilidades por la gestión y operación de todos los recursos de procesamiento de la información. Esto incluye la gestión de servicios tercerizados, la planificación de recursos de los sistemas para minimizar el riesgo de fallas, la creación de procedimientos para la generación de copias de seguridad y su recuperación, así como la administración segura de las redes de comunicaciones.

Sección 11 – Control de acceso

El acceso a la información, así como a los recursos de procesamiento de la información y los procesos de negocios, debe ser controlado con base en los requisitos de negocio y en la seguridad de la información. Debe garantizarse el acceso de usuario autorizado y prevenido el acceso no autorizado a los sistemas de información, a fin de evitar daños a documentos y recursos de procesamiento de la información que estén al alcance de cualquiera.

Sección 12 – Adquisición, desarrollo y mantenimiento de sistemas

Los requisitos de seguridad de los sistemas de información deben ser identificados y acordados antes de su desarrollo y/o de su implementación, para que así puedan ser protegidos para el mantenimiento de su confidencialidad, autenticidad o integridad por medios criptográficos.

Sección 13 – Gestión de incidentes de seguridad de la información

Los procedimientos formales de registro y escalonamiento deben ser establecidos y los empleados, proveedores y terceros deben ser conscientes de los procedimientos para notificar los eventos de seguridad de la información para asegurar que se comuniquen lo más rápido posible y corregidos en tiempo hábil.

Sección 14 – Gestión de continuidad del negocio

Los planes de continuidad del negocio deben ser desarrollados e implementados, con el fin de impedir la interrupción de las actividades del negocio y asegurar que las operaciones esenciales sean rápidamente recuperadas.

Sección 15 – Conformidad

Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos, regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la información. En caso necesario, la empresa puede contratar una consultoría especializada, para que se verifique su conformidad y adherencia a los requisitos legales y reglamentarios.

Un paso importante para la seguridad de la información en entornos corporativos

Seguir los principios de la certificación ISO/IEC 27002 es un paso altamente relevante para garantizar la seguridad de la información en las empresas. En este sentido, es primordial resaltar la importancia de empresas poseer profesionales certificados en sus equipos de seguridad, dando mayor respaldo al proceso de implantación de las buenas prácticas relacionadas a la norma, así como la obtención de certificación corporativa ISO 27001.

¿Ya está certificado ISO 27002? Cuéntenos su experiencia en los comentarios.

Referencias:

ABNT- Asociación Brasileña de Normas Técnicas. NBR ISO/IEC 27002 – Tecnología de la información – Técnicas de seguridad – Código de práctica para la gestión de la seguridad de la información. Río de Janeiro, ABNT, 2005.

Willian Pandini
willian.pandini@ostec.com.br
No Comments

Post A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.