Aplicación de la norma ISO 27002 en la seguridad de la información

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

Las normas ISO 27000 se crearon para ser implementadas en las organizaciones, ya que esta clase de normas pueden ayudar a tener sistemas con una eficiencia óptima y segura , el objetivo principal de la norma ISO 27002 dentro de una empresa es que esta conozca con precisión la cantidad exacta de activos que tiene a su disposición. La información es una parte importante  dentro de la administración de riesgos, entonces es necesario mantenerla presente al momento de establecer las políticas y parámetros dentro de la empresa [1]

La norma ISO 27002, comparte varias similitudes con la norma ISO 27001 [2], entre ellas la protección de la información, pero ISO 27002 administra riesgos en los activos como los recursos. Algunos ejemplos son los siguientes [1].

  • Recursos de Software.

Incluye todo lo referente a Sistemas Operativos, software de aplicaciones, herramientas de desarrollo y vigilancia [1].

  • Activos Físicos.

Equipo mobiliario, equipos de comunicación y equipamiento informático.

  • Recursos de Información.

Archivos y bases de datos, manuales de usuario, documentación de los sistemas, procedimientos operativos, planes de continuidad, planes de contingencia, material de capacitación, etc [1].

  • Servicios.

Se incluyen los servicios informáticos y los servicios de comunicaciones [1].

De acuerdo a los parámetros de ISO 27002,  los activos de información deben estar ordenados según la criticidad y la sensibilidad de la información que estos posean o se dediquen a cumplir, con el fin de establecer el cómo se debe tratar y proteger la información [1].

El patrón de clasificación debe contemplar  el hecho de que un ítem de información no debe ser mantenido de forma invariable todo el tiempo, pues este puede cambiar de acuerdo a la política que ha determinado la organización. Se hace necesario el considerar la cantidad de condiciones en el momento de definir la clasificación según los esquemas llevados a cabo de manera compleja dentro de la organización y pueden llegar a ser poco prácticos [1].

Según lo establecido por la ISO 27002 es importante justificar los activos, además estos deben tener un propietario, el cual debe tener su respectiva identificación. Los dueños de los activos, son los responsables de controlarlos y protegerlos. En la implementación de los controles específicos, el dueño de los activos puede delegar de manera conveniente personal responsable quien se hará cargo de la seguridad y mantenimiento de los activos, pero el propietario es el principal responsable de todos los activos en la organización [1].

Las personas a cargo de la protección y control de los activos, deben estar respaldadas por la empresa, es decir que estas personas deben contar con la aprobación del órgano de dirección el cual hace parte de la empresa, para  establecer los controles de la producción, el desarrollo, mantenimiento, la utilización y seguridad de todos los bienes. El  ser propietario no significa que la persona responsable disponga de los derechos de propiedad reales del bien o activo, solo debe dedicarse a la protección de este [1].

Es necesario realizar un tipo de inventarios, los cuales deben ser mostrados a todos  los propietarios de los bienes y los detalles más relevantes. Se aconseja el uso de códigos de barras, ya que estos ayudan a facilitar las tareas a la hora de realizar los inventarios y la inclusión de los equipos de TI quienes entran y salen de las instalaciones [1].

Las actividades que se llevan a cabo en el control  de riesgos son .

  • Realización de Inventarios.

Todos los activos deben estar claramente organizados,clasificados y mantenidos dentro de un inventario [1].

  • Uso Aceptable de los Activos.

Se requiere la identificación, la documentación y la regulación para dar un uso adecuado de la información y todos los activos asociados a recursos de tratamiento de la información [1].

  • Protección de la propiedad.

Todos los activos del inventario deben estar a cargo de un personal responsable designado por la empresa [1].

  • Devolución de Activos.

Cuando haya terminado el acuerdo, el personal responsable debe hacerse cargo de la devolución de los activos de la organización, por esta razón es importante contar con una especie de contrato de prestación [1].

Fuente

www.isotools.org

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Uncategorized

ISO 22301

Cuando se habla de Continuidad del Negocio, se está haciendo referencia a varios temas en general, pero en sí existe una norma  que ayuda a

Uncategorized

ISO 31000

La ISO 31000 es considerada una norma que ofrece reglas para hacer gestiones de riesgos dentro de las organizaciones, sus orígenes se dan en el

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.