La nueva ISO 27002 y su Control de Configuración

La nueva norma ISO 27002

La norma ISO 27002, es un patrón para la seguridad de la información que se ha publicado la organización internacional de normalización y la comisión electrónica internacional. También suministra diferentes recomendaciones de las mejores prácticas en la gestión de seguridad de la información a todas las partes interesadas, para iniciar, implementar o estandarizar los sistemas de seguridad de la información. La seguridad de la información tiene como definición la preservación de la confidencialidad, disponibilidad e integridad.

En el mes de febrero se ha publicado la nueva ISO 27002:2022, cabe aclarar que la parte del marco de la norma, es decir lSO 27001 que contiene detalles de las cláusulas 4-10, no sufre cambios. 

Las últimas actualizaciones

Uno de los cambios más importantes que tuvo la ISO 27002 está en cómo se agrupan los controles, en esta nueva versión en lugar de contar con los 14 dominios (es lo que agrupa a los diferentes controles), ahora está formado por 4 temas diferentes, son los siguientes:

Controles Organizacionales

Aquí se encuentran un total de 37 controles, donde estos se enfocan principalmente en la seguridad administrativa de las diferentes organizaciones, como son las políticas de seguridad de la información.

Controles de Personas

Este punto tiene un total de 8 controles que se enfocan en la seguridad del capital humano. Las condiciones y términos de empleo son un ejemplo claro de lo que se puede encontrar en estos controles.

Controles Físicas

se encuentra un total de 14 controles, estos comprenden todo lo que tenga que ver con instalaciones físicas. Un ejemplo claro son los controles de entrada a la oficina, es decir, tarjetas de ingreso o de identificación para poder abrir la puerta.

Controles Tecnológicos

Se encuentran un total de 34 controles que conforman esta sección, puede ser la autenticación segura para poder acceder a cualquier sistema de la organización. Un ejemplo puede ser que se te solicite usuarios y contraseña o y código QR de identificación.

Además, lo mencionado anteriormente, se eliminó un control, se fusionaron algunos y se crearon 11 nuevos controles, al final quedaron 93 controles en lugar de 114 que se tenían antes. Otro detalle es que ISO busca la modernización y por esta razón, utilizaron para indicar los atributos donde se detallan 5, son los siguientes:

• Tipo de Control: Este indica cuando y como el control impacta sobre la gestión de riesgos. Un ejemplo puede ser un control correctivo donde aplica después que la amenaza ocurre y el control preventivo que aplica antes de que la amenaza ocurra. 
  

Los posibles valores del atributo son: Correctivos, Detectivos y Preventivos.

• Propiedad de SI: Los atributos de este grupo contribuyen a preservar una o más de las 3 características de la seguridad de la información.
  

Si los posibles valores del atributo son: Confidencialidad, Integridad y Disponibilidad.

• Concepto de Ciberseguridad: Apoya a que tu organización se asocie a los 5 grandes dominios de ciberseguridad.

Los posibles valores del atributo son: Detectar, Identificar, proteger, Recuperar y Responder.

• Capacidad Operacional: Estos atributos te apoyan a agrupar controles de una manera más práctica. Un ejemplo claro es por medio de responsabilidades o gestión operativa.
  

Si los posibles valores del atributo son: Protección de información, gestión de activos, seguridad en los recursos humanos, seguridad física, seguridad en sistemas y redes, gestión de acceso a identidades, continuidad, gestión de amenazas y vulnerabilidades.

• Dominio de Seguridad: Te ayuda a catalogar los controles desde la perspectiva de aplicación.
  

Los posibles valores del atributo son: Gobierno, defensa, protección.

Para concluir, la ISO 27002 es una guía bastante detalla de controles que te ayudan a mitigar los riesgos del SGSI en las diferentes organizaciones, además tiene un conjunto de buenas prácticas que son bastante importantes donde se recomienda tomarla como una base para disminuir los riesgos y lograr certificarse en la ISO 27001.

Aunque se dispondrá de un tiempo moderado para acomodarnos a estos cambios, ajustarnos al nuevo estándar, nos concederá una buena herramienta para garantizar la seguridad de la información, las diversas organizaciones indicaran a sus colaboradores, clientes y las partes interesadas que estarán al tanto de los nuevos desarrollos en la industria de la seguridad de la información.

Software para Riesgos de Ciberseguridad ISO 27001

Para una gestión eficiente de la ciberseguridad se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.