Saltar al contenido principal

ISO 27002

ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber II

Inicio / ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber II

ISO/IEC 27002:2022

ISO/IEC 27002:2022 fue publicada este año y en el mundo de la estandarización estamos de fiesta. El estándar se ajusta a las necesidades de seguridad de la información de hoy en día, es completo, cuenta con 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos. En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos.

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información establece controles, objetivos de cada control, una guía para implementarlos (¡la ISO no deja nada al azar!) e información adicional, en la mayoría de los casos. En el texto anterior a este explicamos lo referente a los controles que van desde el 5.1 hasta el 5.3. El resto lo abordaremos a continuación:

  • 4 Responsabilidades de la dirección: este control consiste en que la gerencia debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida, las políticas y los procedimientos específicos del tema de la organización. El objetivo es asegurar que la gerencia comprenda su papel en la seguridad de la información y emprender acciones destinadas a garantizar que todo el personal conozca y cumpla con sus responsabilidades de seguridad de la información.
  • 5 Contacto con las autoridades: este control conmina a la organización a establecer y mantener contacto con las autoridades pertinentes. La guía de este apartado indica que la organización debe especificar cuándo y por quién se debe contactar a las autoridades (p. ej., fuerzas del orden, organismos reguladores, autoridades de supervisión) y cómo se deben informar oportunamente los incidentes de seguridad de la información identificados.

Los contactos con las autoridades también deben utilizarse para facilitar la comprensión de las expectativas actuales y futuras de estas autoridades (por ejemplo, las normas de seguridad de la información aplicables).

  • 6 Contacto con grupos de interés especial: según este control a organización debe establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad y asociaciones profesionales.
  • 7 Inteligencia de amenazas: relata que la información relacionada con las amenazas a la seguridad de la información debe recopilarse y analizarse para generar información sobre amenazas. El objetivo es proporcionar conciencia del entorno de amenazas de la organización para que se puedan tomar las medidas de mitigación adecuadas.
  • 8 Seguridad de la información en la gestión de proyectos: su objetivo es garantizar que los riesgos de seguridad de la información relacionados con proyectos y entregables se aborden de manera efectiva en la gestión de proyectos a lo largo del ciclo de vida del proyecto.
  • 9 Inventario de información y otros activos asociados: este control indica que se debe desarrollar y mantener un inventario de información y otros activos asociados, incluidos los propietarios. Su propósito es identificar la información de la organización y otros activos asociados con el fin de preservar su seguridad de la información y asignar la propiedad adecuada
  • 10 Uso aceptable de la información y otros activos asociados: refiere que deben identificarse, documentarse e implementarse reglas para el uso aceptable y procedimientos para el manejo de la información y otros activos asociados. El control ofrece una guía que expresa que el personal y los usuarios externos que utilicen o tengan acceso a la información de la organización y otros activos asociados deben conocer los requisitos de seguridad de la información para proteger y manejar la información de la organización y otros activos asociados. Deben ser responsables del uso que hagan de las instalaciones de procesamiento de información.
  • 11 Devolución de bienes: el personal y otras partes interesadas, según corresponda, deben devolver todos los activos de la organización que estén en su poder al cambiar o terminar su empleo, contrato o acuerdo.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

 La clasificación de la información pertenece al control 5.12 y fija que la información debe clasificarse de acuerdo con las necesidades de seguridad de la información de la organización en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.

El etiquetado de la información (5.13) exhorta a desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.

Para mantener la seguridad de la información transferida dentro de una organización y con cualquier parte externa interesada se creó el control relacionado con la transferencia de información (5.14). Para controlar el acceso se confeccionó el control 5.15. Con él se espera garantizar el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados.

En cuanto a la gestión de identidad (5.16), busca permitir la identificación única de personas y sistemas que acceden a la información de la organización y otros activos asociados y permitir la asignación adecuada de derechos de acceso.

El apartado 5.17 es información de autenticación y se propone garantizar la autenticación adecuada de la entidad y evitar fallas en los procesos de autenticación.

Los derechos de acceso son tratados en 5.18, el control busca que el acceso a la información y otros activos asociados se defina y autorice de acuerdo con los requisitos comerciales. La seguridad de la información en las relaciones con los proveedores pertenece al campo 5.19 y el control espera mantener un nivel acordado de seguridad de la información en las relaciones con los proveedores.

Los últimos 3 apartados son:

  • 20 Abordar la seguridad de la información en los acuerdos con proveedores
  • 21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
  • 22 Seguimiento, revisión y gestión de cambios de servicios de proveedores
  • 23 Seguridad de la información para el uso de servicios en la nube

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Volver arriba