ISO/IEC 27002:2005 e ISO/IEC 27002:2013

 

¿Cuales son y cuántas medidas de seguridad define la norma?

La norma ISO/IEC 27002:2013 es un estándar para la seguridad publicado por la Organización internacional de Normalización y la Comisión Electrotécnica que se encarga de proporcionar la orientación que deben seguir los controles de seguridad de la información para ser implementados. Independientemente del tamaño de las empresas, tipo o sector, esta norma es aplicable a todo tipo de organizaciones. Esta norma esta formada por 14 dominios, 35 objetivos de control y 114 controles, aunque fue actualizada y adaptada en febrero de 2022. Los 14 dominios que trata son los siguientes:

1. Políticas de seguridad: Se destaca la importancia de la creación de políticas de seguridad adecuadas, revisadas y actualizadas.
2. Organización de la Seguridad de la Información: Se trata de establecer una organización de tareas, roles y accesos para seguir con una seguridad eficiente.
3. Seguridad de los Recursos Humanos: Establecer formación hacia el personal que forma la organización sobre la importancia de la seguridad de la información en su actividad laboral.
4. Gestión de los activos: Información de los activos.
5. Control de accesos: Quién accede a la información y los roles establecidos para ello
6. Cifrado: Para proteger la información confidencial.
7. Seguridad Física y Ambiental: Mantener también el entorno seguro.
8. Seguridad de las Operaciones: Mantener la seguridad en las acciones que realicemos en el ámb ito laboral como la protección ante malware.
9. Seguridad de las Comunicaciones: Tener cuidado con la transmisión de datos personales o sensibles garantizando la seguridad de los mismos.
10. Adquisición de sistemas, desarrollo y mantenimiento: La seguridad de la información debe estar incluida en el ciclo de vida de la empresa.
11. Relaciones con los Proveedores.
12. Gestión de incidencias que afectan a la Seguridad de la información: Además de tratar de prevenir incidentes, debemos saber cómo gestionarlos en caso de que ocurran.
13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: Partir de copias de seguridad para que no se produzca una pérdida relevante de información.
14. Conformidad: Deben existir ciertas reglas ante las que la organización completa esté conforme para poder llevar a cabo la política de seguridad y garantizar su cumplimiento.

¿Qué diferencia hay entre la versión de 2005 y la versión de 2013?

• Estructura

ISO/IEC 27002/2005: 11 dominios, 39 objetivos de control y 133 controles

ISO /IEC 27002/2013: 14 dominios, 35 objetivos de control y 114 controles (nuevas secciones: criptografía, seguridad de las comunicaciones y relaciones con los proveedores)

TABLA 1. https://es.slideshare.net/jonnyceballos/presentacion-manuel-collazos1

• Controles borrados o nuevos

ISO/IEC 27002/2005: 21 borrados

ISO /IEC 27002/2013: 14 nuevos controles (20 controles fuertemente revisados, 30 actualizados y varios fusionados) 

TABLA 2. https://es.slideshare.net/jonnyceballos/presentacion-manuel-collazos1

• Cambios en terminología como el cambio de la palabra privilegios a acceso privilegiado, el verbo cheque cambiado por verificar, ...

TABLA 3. https://es.slideshare.net/jonnyceballos/presentacion-manuel-collazos1

Además encontramos diferencias como el número de inspecciones (133 en 2005 y 114 en 2013) o de solicitudes (130 en 2005 y 102 en 2013).

Como extra añadimos información sobre la ISO/IEC 27002:2022 debido a que esta ha sido la última actualización:

• 10 clausulas y cambios respecto a los controles
• Enfoque preventivo y detectivo
• 4 temas y 93 controles

TABLA 4: https://www.linkedin.com/pulse/an%C3%A1lisis-de-la-norma-iso-270022022-c%C3%A9sar-paul-viteri-pe%C3%B1afiel/

• 11 controles nuevos y los 114 anteriores (2013) se encuentran fusionados
• Mayor importancia al individuo y los controles que tienen que ver con la seguridad del mismo