AA1-EV5 - APLICACIÓN DE LA NORMA ISO 27002

AA1-EV5 - APLICACIÓN DE LA NORMA ISO 27002

Presentado por:

ALEJANDRO LUIS LOPEZ TRESPALACIOS

Instructor Responsable:

GREGORIO ARTURO BAREÑO MARIN

Ingeniero de Sistemas Magister en Seguridad Informática

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACIÓN TECNOLÓGICA GESTIÓN Y SEGURIDAD DE BASE DE DATOS

02 DE AGOSTO DE 2016

INTRODUCCIÓN

A diario estamos amenazados por riesgos que ponen en peligro la integridad de la información y con ello la viabilidad de los negocios, riesgos que provienen no solo del exterior de la organización, sino también del interior, para poder trabajar en un entorno de manera segura nosotros como especialistas debemos implementar un sistema que permita controlar y gestionar la seguridad de la información; una de las ventajas de implementar un sistema de seguridad de la información, es que nos permiten dar a conocer, gestionar y minimizar los riesgos que puedan atentar contra  la seguridad de la empresa, lo cual se refiere a la protección de la información que se maneja internamente y externamente como son los correos electrónicos, paginas web, archivos , bases de datos entre otros.

Cuando identificamos los activos de la información, debemos saber de donde proceden y como se clasifican dentro de la empresa, para establecer ciertos criterios como son el tratamiento, la protección y la divulgación de la información, al igual que conocer toda la infraestructura tecnológica aplicada a esta

Para garantizar la seguridad de toda la información y de las herramientas técnicas( hardware), es importante crear una política de seguridad en cuanto a la información,  en cuento a manejo, control tratamiento, y seguridad, este proceso de implantación nos va a permitir, en primer lugar, analizar y ordenar la estructura de toda la información, en segundo lugar, definir procedimientos de trabajo que nos permitan mantener la seguridad, y en tercer lugar realizar controles para medir la eficacia de las medidas tomadas, todo esto nos permite proteger la organización de posibles amenazas y riesgos que pueden poner en peligro la organización

Establecer unas políticas de gestión de seguridad nos permite establecer unos criterios para gestionar los riesgos y así preservar la confidencialidad, la integridad y disponibilidad de los mismos.  

La norma ISO 27002 establece las pautas estandarizadas que toda organización debe seguir para garantizar la seguridad de su información y el uso adecuado de los recursos.

Los diferentes planes de mejora propuestos tienen como objetivo principal optimizar las tareas y funciones de los empleados en pro de garantizar el uso adecuado de la información y la seguridad de la misma.

Las políticas y estándares de seguridad informática establecen una cultura de calidad al interior de las empresas que garantizan la operación adecuada de las mismas y su proteccion.  

JUTIFICACION

La información, junto con los procesos que la administran, además de cada una de las personas que hacen parte de los mismos, son activos valiosos del que depende el buen funcionamiento de una organización. La confidencialidad, integridad y disponibilidad de la información, son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar los beneficios económicos.

El sistema de gestión de seguridad de la información permite controlar y minimizar los riesgos físicos o lógicos entre estos tenemos por un lado los incendios, inundaciones entre otros, como por, otra parte tenemos hacker, robos de identidad, spam, virus entre otros, para proteger a esta organización de todas estas amenazas es necesario establecer unos  procedimientos adecuados e implementar controles de seguridad basados en la evaluación de riesgos y medir su eficacia, establecer un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27002, detallamos en el siguiente ítem dando a conocer sus detalles.

ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES

[pic 1]

NORMA ISO/IEC 27002

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de seguridad de información.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; que están distribuidos como se observa en la siguiente estructura:

A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:

5. Política de seguridad

Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relación a los requisitos del negocio y regulaciones relevantes.

6. Estructura organizativa para la seguridad

"Organización interna: estos controles gestionan la seguridad de la información dentro de la Organización. El órgano de dirección debe aprobar la

política de seguridad de la información, asignando los roles de seguridad y coordinando la implantación de la seguridad en toda la Organización."

"Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización."

7. Clasificación y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección adecuada de los activos de la organización.

"Clasificación y control de la información: la información se encuentra clasificada para indicar las necesidades, prioridades y nivel de protección previsto para su tratamiento."

...