Unidad III: ISO/IEC 27002:2022. Las Normas Asociadas a la Aplicaciones Informáticas (Neyeska Matute)

 

Unidad III: Control Interno. Las Normas Asociadas a la Aplicaciones Informáticas

ISO/IEC 27002:2022

Publicado por: isms.online 

Fecha: Actualizado el 19 diciembre de 2024

Autor: Alfy Harvey

Fuente: https://es.isms.online/iso-27002/

ISO 27002 proporciona un conjunto de referencia de controles de seguridad de la información, ciberseguridad y protección de la privacidad, incluida una guía de implementación basada en las mejores prácticas reconocidas internacionalmente. En términos generales, brinda orientación sobre la implementación de un SGSI ISO 27001.

¿Qué es ISO/IEC 27002?

ISO/IEC 27002:2022 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). La ISO 27002 tiene una estrecha asociación con ISO 27001. En términos generales, brinda orientación sobre la implementación de un SGSI ISO 27001.

La ISO/IEC 27002 proporciona un conjunto de referencia de controles de seguridad de la información, ciberseguridad y protección de la privacidad, incluida una guía de implementación basada en las mejores prácticas reconocidas internacionalmente.

Si bien la ISO 27002 no es un estándar certificable en sí mismo, el cumplimiento de sus pautas de seguridad de la información, seguridad física, seguridad cibernética y gestión de privacidad acerca a su organización un paso más hacia el cumplimiento de los requisitos de certificación ISO 27001.

 

Función Principal de la ISO/IEC 27002:2022

      La función principal de la ISO/IEC 27002:2022 es proporcionar una guía integral y práctica para establecer, implementar, mantener y mejorar la seguridad de la información dentro de una organización. Sus funciones específicas son:

  1. Identificar y Seleccionar Controles de Seguridad: Ayuda a las organizaciones a identificar los controles relevantes para mitigar los riesgos de seguridad de la información identificados en su proceso de evaluación de riesgos.
  1. Implementar Controles de Seguridad: Ofrece directrices detalladas sobre cómo implementar los controles seleccionados de manera efectiva.
  1. Mantener y Mejorar la Seguridad de la Información: Proporciona un marco para la revisión y actualización continua de los controles de seguridad para asegurar su eficacia a lo largo del tiempo.
  1. Servir como referencia para la ISO 27001: Actúa como una guía para implementar los controles mencionados en el Anexo A de la ISO 27001, facilitando la certificación bajo esta norma.
  1. Fomentar las Mejores Prácticas: Promueve la adopción de las mejores prácticas internacionales en seguridad de la información.
  1. Aumentar la Confianza de las Partes Interesadas: Demuestra a los clientes, socios y otras partes interesadas el compromiso de la organización con la protección de la información. 
 

Características Principales de la ISO/IEC 27002:2022

  1. Estructura Basada en Temas: La norma organiza los controles de seguridad en cuatro dominios principales basados en temas, en lugar de las 14 categorías de la versión anterior. Los temas son los siguientes:

 

    1. Controles Organizacionales: Relacionados con la gobernanza y el marco de gestión de la seguridad de la información.
    1. Controles de Personas: Abordan los aspectos de seguridad relacionados con los recursos humanos.
    1. Controles Físicos: Cubren la seguridad de los activos físicos y el entorno.
    1. Controles Tecnológicos: Se centran en la seguridad de los sistemas de información y la tecnología.


  1. Número Reducido de Controles: La versión 2022 contiene 93 controles, en comparación con los 114 de la versión 2013. Algunos controles se han fusionado y otros se han actualizado.
  1. Introducción de Nuevos Controles: Se han añadido 11 controles nuevos que reflejan las amenazas y los desafíos de seguridad actuales, como la inteligencia de amenazas, la seguridad de la información para el uso de servicios en la nube y la prevención de la fuga de datos.
  1. Énfasis en los Atributos de los Controles: Para cada control, la norma introduce una serie de atributos que ayudan a las organizaciones a comprender mejor su propósito y cómo implementarlos de manera efectiva.

Estos atributos incluyen el tipo de control (preventivo, detectivo, correctivo), las propiedades relacionadas con la seguridad de la información (confidencialidad, integridad, disponibilidad) y las capacidades operacionales (gobernanza, protección, defensa, respuesta, recuperación).

 

  1. Mayor Claridad y Flexibilidad: La norma busca ser más clara y adaptable a diferentes tipos y tamaños de organizaciones, proporcionando una guía más flexible para la selección e implementación de controles.
  1. Alineación con la ISO 27001: Aunque es una norma independiente, está diseñada para ser utilizada en conjunto con la ISO 27001, proporcionando una guía detallada para la implementación de los requisitos del Anexo A de esta última.
 

¿Por qué es importante ISO/IEC 27002:2022?

 

La ISO/IEC 27002:2022 es importante por las siguientes razones:

  1. Protección de Activos de Información: Ayuda a las organizaciones a proteger su información más valiosa de amenazas internas y externas, reduciendo el riesgo de pérdidas financieras, daños a la reputación y problemas legales.
  1. Cumplimiento Normativo: Facilita el cumplimiento de diversas leyes y regulaciones relacionadas con la protección de datos y la seguridad de la información.
  1. Gestión de Riesgos: Proporciona un marco estructurado para identificar, evaluar y tratar los riesgos de seguridad de la información de manera sistemática.
  1. Mejora Continua: Fomenta una cultura de mejora continua en la seguridad de la información, asegurando que los controles se adapten a las nuevas amenazas y a los cambios en el entorno empresarial.
  1. Ventaja Competitiva: Demostrar un compromiso con la seguridad de la información puede ser una ventaja competitiva al generar confianza en los clientes y socios comerciales.
  1. Resiliencia Organizacional: Ayuda a las organizaciones a ser más resilientes ante incidentes de seguridad, permitiendo una recuperación más rápida y eficiente.
 

¿Cómo se Debe Aplicar la ISO/IEC 27002:2022?

La aplicación de la ISO/IEC 27002:2022 implica un proceso sistemático y adaptado a las necesidades específicas de cada organización. Los pasos clave para su aplicación son:

  1. Comprensión del contexto de la organización: Entender los objetivos, el tamaño, la estructura, los procesos y los requisitos legales y regulatorios de la organización.
  1. Evaluación de riesgos de seguridad de la información: Identificar, analizar y evaluar los riesgos a los que está expuesta la información de la organización.
  1. Selección de controles: Basándose en los resultados de la evaluación de riesgos, seleccionar los controles de la ISO/IEC 27002:2022 que sean apropiados para mitigar los riesgos identificados. Es importante recordar que no todos los controles son aplicables a todas las organizaciones.
  1. Implementación de los controles: Desarrollar e implementar las políticas, procedimientos y medidas técnicas necesarias para poner en práctica los controles seleccionados. Esto puede incluir la asignación de responsabilidades, la capacitación del personal y la implementación de tecnología de seguridad.
  1. Seguimiento y revisión: Monitorear la efectividad de los controles implementados y realizar revisiones periódicas para asegurar que sigan siendo relevantes y eficaces.
  1. Mejora continua: Realizar ajustes y mejoras en los controles y en el proceso de gestión de la seguridad de la información en función de los resultados del seguimiento, las auditorías y los cambios en el entorno.
  1. Documentación: Mantener una documentación adecuada de todo el proceso, incluyendo la evaluación de riesgos, la selección de controles, los procedimientos de implementación y los registros de seguimiento y revisión.

 

 

¿Cuáles son los Beneficios?

Al implementar controles de seguridad de la información que se encuentran en ISO/IEC 27002, las organizaciones pueden estar seguras de que sus activos de información están protegidos por las mejores prácticas aprobadas y reconocidas internacionalmente.

 Las organizaciones de todos los tamaños y niveles de madurez de seguridad pueden obtener los siguientes beneficios del cumplimiento del código de práctica ISO/IEC 27002:

·     Fortalece la seguridad de la información: Implementas controles robustos y actualizados para proteger tus activos de información contra las amenazas actuales.

·   Genera mayor confianza: Demuestras a tus clientes, socios y otras partes interesadas un compromiso serio con la seguridad de la información, lo que aumenta su confianza.

·     Facilita el cumplimiento normativo: Te ayuda a cumplir con diversas leyes y regulaciones de protección de datos, como GDPR, al proporcionar un marco de controles relevantes.

·  Otorga una ventaja competitiva: El cumplimiento de normas ISO es a menudo un requisito en licitaciones y negociaciones, abriendo puertas a nuevas oportunidades de negocio.

·    Prepara para la certificación ISO 27001: Sirve como una guía sólida y reduce los riesgos al buscar la certificación ISO 27001.

·  Promueve la mejora continua: Establece un ciclo de revisión y actualización de tus controles de seguridad, asegurando que te adaptes a las nuevas amenazas y desafíos.

·   Mejora la gestión de riesgos: Te ayuda a identificar, analizar y tratar los riesgos de seguridad de la información de manera sistemática y eficaz.

·     Optimiza los procesos: Al implementar la norma, defines procesos claros y estructurados para la gestión de la seguridad de la información, lo que puede mejorar la eficiencia operativa.

·    Aumenta la conciencia de seguridad: Fomenta una cultura de seguridad en toda la organización, haciendo que los empleados sean más conscientes de los riesgos y sus responsabilidades.

 

 

Ventajas de seguir las directrices de la norma ISO/IEC 27002:2022

La ISO/IEC 27002:2022 trae consigo varias ventajas clave para la gestión de la seguridad de la información en organizaciones de todos los tamaños. Algunas de sus principales mejoras incluyen:

  • Actualización de controles: Se han incorporado nuevos controles que abordan riesgos emergentes en ciberseguridad y privacidad, adaptándose a las amenazas actuales
  • Mayor enfoque en la nube y tecnologías digitales: La norma ahora considera escenarios modernos, como el uso de servicios en la nube y la digitalización de procesos.
  • Estructura más clara y flexible: Se han reorganizado los controles para facilitar su implementación y alineación con ISO 27001.
  • Atributos de seguridad: Se han introducido atributos que permiten clasificar los controles según su propósito, facilitando su aplicación estratégica.
  •  Mejor gestión de riesgos: Proporciona un marco sólido para identificar, gestionar y mitigar riesgos de seguridad de la información

 

 

ISO 27002:2022 Alcance Ampliado

    El primer cambio inmediato es el nombre del estándar. Anteriormente, la norma ISO/IEC 27002:2013 se titulaba “Tecnología de la información – Técnicas de seguridad – Código de prácticas para controles de seguridad de la información”. El estándar ahora se denomina “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información” en la revisión de 2022.

    La versión anterior de la norma ISO 27002:2013 organiza los Controles en 14 Grupos principales:

 

  • A.5 Políticas de seguridad de la información.
  • A.6 Organización de la seguridad de la información.
  • A.7 Seguridad de los recursos humanos.
  • A.8 Gestión de activos.
  • A.9 Control de acceso.
  • A.10 Criptografía.
  • A.11 Seguridad física y ambiental.
  • A.12 Seguridad de las operaciones.
  • A.13 Seguridad de las comunicaciones.
  • A.14 Adquisición, desarrollo y mantenimiento del sistema.
  • A.15 Relaciones con proveedores.
  • A.16 Gestión de incidentes de seguridad de la información.
  • A.17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio.
  • A.18 Cumplimiento.

 Estos grupos abordaron diversos aspectos de la seguridad de la información, brindando a las organizaciones orientación para desarrollar e implementar controles efectivos. Siguiendo las directrices de la norma ISO/IEC 27002, las organizaciones pueden mejorar sus prácticas de seguridad de la información y garantizar el cumplimiento de las mejores prácticas del sector.

 

La versión 2022 de la Norma ISO/IEC 27002 establece un conjunto de 93 controles de seguridad organizados en cuatro categorías principales:

1.        (5) Controles Organizacionales: Estos controles tienen como objetivo principal proporcionar un esquema operativo para la seguridad de la información y se enfocan en:

 

a.       Políticas de Seguridad de la Información: Definen reglas y responsabilidades.

 

b.      Gestión de Riesgos: Identificación y tratamiento de amenazas.

 

c.       Cumplimiento Normativo: Asegura el cumplimiento de regulaciones.

 

d.      Gestión de Activos: Clasificación y protección de información.

 

e.       Gestión de Proveedores: Control de riesgos en terceros.

 

1.              (6) Controles de Personas: Estos controles reconocen la importancia del factor humano en la seguridad de la información. Se centran en:

 

a.      Concienciación y formación: Capacitación en seguridad.

 

b.      Seguridad en la gestión de recursos humanos: Protección desde la contratación hasta la salida.

 

c.       Responsabilidades de los empleados: Definición de roles y acceso.

 

1.                      (7) Controles Físicos: La seguridad no solo es digital, y estos controles se encargan de la protección tangible. Abordan:

a.      Seguridad en Instalaciones: Protección de accesos físicos.

b.      Gestión de Equipos: Control de dispositivos y eliminación segura.

c.       Protección Contra Amenazas Ambientales: Medidas contra incendios, inundaciones, etc.

 
 

4.                  (8) Controles Tecnológicos: Con un enfoque en la infraestructura tecnológica, estos controles cubren:

 

a.      Control de acceso: Gestión de autenticación y permisos.

 

b.      Criptografía: Protección de datos mediante cifrado.

 

c.       Seguridad en redes: Protección contra ataques y accesos no autorizados.

 

d.      Gestión de incidentes: Respuesta y recuperación ante eventos de seguridad.

 

La actualización de la norma redujo el número de controles de 114 a 93, fusionando algunos y añadiendo 11 nuevos controles enfocados en ciberseguridad y protección de la privacidad.

 

  

Utilización de la ISO/IEC 27002

 

La norma ISO/IEC 27002 está diseñada para ser utilizada por organizaciones que desean:

 

  • Seleccionar controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001.
  • Implementar controles de seguridad de la información comúnmente aceptados.
  • Desarrollar sus propias pautas de gestión de seguridad de la información.

Al utilizar la norma ISO/IEC 27002, las organizaciones pueden establecer un marco sólido para la gestión de la seguridad de la información , alinear sus prácticas con los estándares internacionales y mitigar eficazmente los riesgos a sus activos de información.

 

Para más detalles, consultar los siguientes enlaces:

Publicado por: Global Suite Solutions

Fecha: 17 octubre de 2024

Fuente: https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27002-y-para-que-sirve/

Publicado por: ISO

Fecha: (Edición 3, 2022)

Fuente: https://www.iso.org/es/contents/data/standard/07/56/75652.html

Video de YouTube

Autor: Pirani

Links: https://www.youtube.com/watch?v=jkQFlY-lLZY

Fecha de Publicación: 31 octubre 2022


Comentarios

Publicar un comentario

Entradas más populares de este blog

Unidad III - COBIT 2019 (SKARLETH ESCALONA)

  ¿Que es COBIT 2019? COBIT 2019 es un desarrollado por ISACA, que ayuda a las organizaciones a alinear sus estrategias de TI con sus objetivos de negocio. Es una actualización de COBIT 5 que incluye nuevas perspectivas, directrices y certificaciones para impulsar el crecimiento de las empresas.  COBIT de divide en 5 objetivos principales que son de gobierno y 35 objetivos de gestión.  5 Objetivos de Gobierno: EDM01 Definir la dirección del gobierno y la estructura:  Establece el tono y la estructura para cómo se deben gobernar todas las áreas de TI, incluyendo la definición de roles y responsabilidades para la toma de decisiones relacionadas con la seguridad, la infraestructura de red, la gestión de datos y los procesos de desarrollo. EDM02 Asegurar la entrega de valor: Dirige a la gestión a asegurar que las inversiones en todas las áreas de TI (seguridad, redes, bases de datos, desarrollo) generen valor para la empresa, alineándose con los objetivos estratégic...
Leer más

Trabajo Manuscrito Unidad I (SKARLETH ESCALONA)

                                                                                                                                                                                                                             ...
Leer más

La Auditoria De Sistemas, Auditoria interna y nuevas tecnologías (Skarleth Escalona )

Imagen
 La Auditoria De Sistemas, Auditoria interna y nuevas tecnologías Video de Youtube : https://www.youtube.com/watch?v=NCYEFdfejj4 Fecha de Publicación:  16 ago 2019 Publicado por: @incpcol INNOVACIÓN La tecnología y su impacto en la auditoría interna de las organizaciones Para mayor información visite el siguiente link: https://incp.org.co/publicaciones/infoincp-publicaciones/estandares-internacionales/2025/03/iia-destaca-tendencias-en-auditoria-interna-mas-tecnologia-nuevas-responsabilidades-y-mayor-inversion/ )  
Leer más