hacking
Páginas: 11 (2538 palabras)
Publicado: 25 de abril de 2014
ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Surgimiento
ISO/IEC 27002: El Estándar Internacional nace bajo la coordinación de dos organizaciones:
ISO: International Organization forStandardization.
IEC: International Electrotechnical Commission.
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que seencarga de las técnicas de seguridad de las tecnologías de información, que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002.
Alcance
El Estándar Internacional ISO/IEC 27002 va orientado a la seguridad de la información enlas empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.
Estructura
El Estándar Internacional ISO/IEC 27002 contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:
Política de seguridad.
Aspectos organizativos de la seguridad de la información.
Gestión de activos.
Seguridad ligada alos recursos humanos.
Seguridad física y ambiental.
Gestión de comunicaciones y operaciones.
Control de acceso.
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de incidentes en la seguridad de la información.
Gestión de la continuidad del negocio.
Cumplimiento.
Evaluación de los riesgos de seguridad
La reducción de riesgos no puede ser un proceso arbitrario yregido por la voluntad de los dueños o administradores de la empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad degran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando la rentabilidad). Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.
Política de seguridad
Su objetivo es proporcionar a la gerenciala dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información".
Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado atodos los empleados y las partes externas relevantes.Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé.
Aspectos organizativos de la seguridad de lainformación
La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.
Organización interna: se tiene como objetivo manejar la seguridad de la información dentro de la organización.
Organización con respecto a terceros: La organización en materia de seguridad de la información debe también considerarse respecto...
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Surgimiento
ISO/IEC 27002: El Estándar Internacional nace bajo la coordinación de dos organizaciones:
ISO: International Organization forStandardization.
IEC: International Electrotechnical Commission.
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que seencarga de las técnicas de seguridad de las tecnologías de información, que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002.
Alcance
El Estándar Internacional ISO/IEC 27002 va orientado a la seguridad de la información enlas empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.
Estructura
El Estándar Internacional ISO/IEC 27002 contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:
Política de seguridad.
Aspectos organizativos de la seguridad de la información.
Gestión de activos.
Seguridad ligada alos recursos humanos.
Seguridad física y ambiental.
Gestión de comunicaciones y operaciones.
Control de acceso.
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de incidentes en la seguridad de la información.
Gestión de la continuidad del negocio.
Cumplimiento.
Evaluación de los riesgos de seguridad
La reducción de riesgos no puede ser un proceso arbitrario yregido por la voluntad de los dueños o administradores de la empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad degran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando la rentabilidad). Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.
Política de seguridad
Su objetivo es proporcionar a la gerenciala dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información".
Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado atodos los empleados y las partes externas relevantes.Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé.
Aspectos organizativos de la seguridad de lainformación
La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.
Organización interna: se tiene como objetivo manejar la seguridad de la información dentro de la organización.
Organización con respecto a terceros: La organización en materia de seguridad de la información debe también considerarse respecto...
Leer documento completo
Regístrate para leer el documento completo.