La información es el activo más valioso dentro de una organización. Perder o ser víctima de un robo de los datos almacenados en sus sistemas informáticos puede llevarla a la quiebra. Para evitar una brecha de seguridad en empresas se han diseñado los Sistemas de Gestión de la Seguridad de la Información (SGSI). El desarrollo de estos sistemas viene especificado en la familia de normas ISO 27000. A ella pertenece la ISO 27002, que contiene elementos útiles para auditar estos sistemas y aplicar las buenas prácticas en su implementación.
¿Qué es la ISO 27002?
La ISO 27001 es la normativa internacional que tiene como finalidad la protección de la confidencialidad de datos e información dentro de una organización. Esta norma proporciona el marco de trabajo para establecer un SGSI, que después puede ser certificado oficialmente por el organismo ISO.
La ISO 27001 está dividida en 10 capítulos y un anexo en el que se recopilan 14 dominios de seguridad. Para complementar esta normativa, se elaboró la ISO 27002.
La ISO 27002 contiene un inventario de prácticas donde se describe detalladamente los puntos clave de la ISO 27001. Estos dos estándares juntos contemplan tanto la ciberseguridad como también la protección de la información en todos los ámbitos posibles. Por ejemplo, se plantea la hipótesis de que pueda haber un incendio u otra catástrofe que destruya todos los documentos, información o sistemas de una empresa.
Máster en Gestión de Riesgos Digitales y Ciberseguridad
Lidera planes de gestión de riesgos tecnológicos.
Estructura y capítulos de la ISO 27002
La ISO 27002 está formada por un total de 17 capítulos. Del 0 al 4 hay una introducción, una norma relacionada y un listado de términos y definiciones. A continuación, resumiremos el resto de capítulos.
- El Capítulo 5 recoge las políticas de seguridad de la información, en el que se aconseja crear una estructura para establecer los objetivos y formas de control en SGSI.
- Capítulo 6. Está dedicado a la organización de la seguridad de la información, así como también se menciona el teletrabajo y el uso de dispositivos móviles en la empresa.
- El Capítulo 7 detalla la seguridad en los recursos humanos. Se habla del antes, el durante y después de la contratación del personal en una empresa. Para evitar riesgos humanos, es importante tener en cuenta las referencias de una persona antes de contratarla. También contempla la correcta gestión de la terminación de una relación laboral para evitar cualquier riesgo para la compañía.
- Capítulo 8. Habla de la gestión de los activos como los equipos, aplicaciones, el personal o las instalaciones. También se incluyen los bienes intangibles tales como la imagen de la empresa. Es muy importante que cualquier organización que vela por su seguridad tenga inventariado todos sus activos como principal medida de protección.
- Referencias del Capítulo 9. Esteexplica cómo gestionar los accesos tanto físicos como digitales a la información dentro de una organización. Un buen control en este ámbito es primordial para salvaguardar la integridad de los bienes y activos de la compañía. Mediante diferentes protocolos de seguridad es posible evitar el robo o intrusiones en los sistemas de información como, por ejemplo, gracias a la gestión de las contraseñas.
- El Capítulo 10 habla del sistema de criptografía o de comunicación cifrada como medida de protección de la información. Según el Reglamento Europeo de Protección de Datos, los datos de carácter personal o sensible, como notas médicas, deben estar estrictamente protegidos. El objetivo es que en caso que se produzca el robo de datos no se pueda acceder al contenido real.
- Capítulo 11. Detalla la seguridad física y ambiental, es decir, todo lo que tiene que ver con las condiciones físicas y los suministros. Se especifica cómo gestionar el control del suministro eléctrico, de Internet, mantención de la temperatura ambiente o impedimento de robos.
- El Capítulo 12 habla de la seguridad en las operaciones. Se recogen las políticas para establecer una correcta protección contra malware, realización de backups, registro de eventos, etc.
- Elementos del Capítulo 13. Este capítulo de la ISO 27002trata la seguridad en las comunicaciones. Explica cómo se debe proteger la mensajería a través de redes o Internet y también detalla la importancia de los acuerdos de confidencialidad.
- El Capítulo 14 contempla la adquisición, desarrollo y mantenimiento de sistemas de información. Tiene como objetivo garantizar la seguridad en los sistemas operativos, infraestructuras, aplicaciones del negocio, productos, etc.
- El Capítulo 15 habla sobre las relaciones con los proveedores o colaboradores externos para definir los límites de sus accesos a la información de la compañía.
- Desarrollo del Capítulo 16 está dedicado a la gestión de incidentes: se detalla de qué forma se deben gestionar los contratiempos dentro de una organización. Desde quién tiene que actuar hasta cómo se deberán resolver.
- Capítulo 17. Detalla cómo realizar un plan para asegurar la continuidad del negocio en caso que ocurra algún problema de seguridad que obligue a parar la actividad económica.
Beneficios que aporta la ISO 27002 a las empresas
Hay veces en que las medidas de seguridad en una organización pueden parecer incómodas o dificultosas. Gracias a las diferentes normativas ISO es mucho más fácil conseguir una correcta gestión de los sistemas de seguridad y evitar riesgos dentro de una empresa.
- La ISO 27002 aporta los siguientes beneficios:
- Mejora del control en los activos de la empresa.
- Identificación y corrección de puntos débiles.
- Mejora de la reputación para los clientes y proveedores.
- Mejora de los procesos y mecanismos.
- Aumento de la eficiencia y reducción de costos.
Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School
La familia de normas ISO 27000 es abordada en profundidad en el Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School. Se trata de un máster online dirigido a profesionales que quieran especializarse en risk maganement en el ámbito tecnológico.
Puedes solicitar más información sobre este Máster en Ciberseguridad y Gestión de Riesgos Digitales haciendo clic aquí.
Amplía información sobre esta materia en el siguiente vídeo:
0 comentarios