ISO27002:2005 VS ISO27002:2013. (6.1)
❀Hola❀
¿Qué tal? ¿Cómo va todo? En entradas pasadas os hablé de la norma ISO 27002, hoy vamos a conocer mejor dicha norma. Espero que os interese!
La norma ISO/IEC 27002 es un estándar para la seguridad de la información. La norma está publicada por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La ISO 27002 cubre a todo tipo de organizaciones sin tener en cuenta su tamaño, norma o tipo.
El principal objetivo de la ISO 27002 es establecer directrices y principios generales para implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.
La norma cuenta con 14 capítulos y con la recomendación de 114 controles de seguridad.
A continuación os expongo los catorce capítulos:
1. Políticas de seguridad: refleja la importancia de un conjunto de políticas para la seguridad de la información.
2. Organización de la Seguridad de la Información: se trata de la organización interna para tener los mejores resultados y el sistema de organización más eficiente.
3. Seguridad de los Recursos Humanos: incluye los aspectos a tomar en cuenta antes de la contratación (por ejemplo, investigar los antecedentes de los candidatos al puesto), durante la contratación (por ejemplo, concienciar y educar sobre la seguridad de la información), y para el cese o cambio de trabajo (por ejemplo, la actualización de privilegios).
4. Gestión de los Activos: trata la responsabilidad sobre los activos y el manejo de los soportes de almacenamiento.
5. Control de Accesos: requisitos de la organización para acceder a la información.
6. Cifrado: incluye los controles como políticas de uso de controles de cifrado y la gestión de claves.
7. Seguridad Física y Ambiental: trata sobre la seguridad no solo a nivel tecnológico, también a nivel físico.
8. Seguridad de las Operaciones: incluye procedimientos y responsabilidades.
9. Seguridad de las Comunicaciones: gestión de la seguridad de la red y gestión de las transferencia de información.
10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información, seguridad en los procesos de desarrollo y soporte.
11. Relaciones con los Proveedores: seguridad de la información cuando se trata con proveedores.
12. Gestión de Incidencias que afectan a la Seguridad de la Información.
13. Aspectos de seguridad de la información para la Gestión de la Comunidad del Negocio.
14. Conformidad: legislación, normas y políticas relacionadas con la seguridad.
La norma ISO 27002 se actualiza regularmente para adecuarse a la realidad social en la que se desarolla. Os cuento las diferencias entre la versión de 2005 y la de 2013.
Estas son las principales diferencias, espero que os haya interesado esta entrada.
Un saludo bloggeros!
Claudia Blanco Prego.
¿Qué tal? ¿Cómo va todo? En entradas pasadas os hablé de la norma ISO 27002, hoy vamos a conocer mejor dicha norma. Espero que os interese!
La norma ISO/IEC 27002 es un estándar para la seguridad de la información. La norma está publicada por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La ISO 27002 cubre a todo tipo de organizaciones sin tener en cuenta su tamaño, norma o tipo.
El principal objetivo de la ISO 27002 es establecer directrices y principios generales para implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.
La norma cuenta con 14 capítulos y con la recomendación de 114 controles de seguridad.
A continuación os expongo los catorce capítulos:
1. Políticas de seguridad: refleja la importancia de un conjunto de políticas para la seguridad de la información.
2. Organización de la Seguridad de la Información: se trata de la organización interna para tener los mejores resultados y el sistema de organización más eficiente.
3. Seguridad de los Recursos Humanos: incluye los aspectos a tomar en cuenta antes de la contratación (por ejemplo, investigar los antecedentes de los candidatos al puesto), durante la contratación (por ejemplo, concienciar y educar sobre la seguridad de la información), y para el cese o cambio de trabajo (por ejemplo, la actualización de privilegios).
4. Gestión de los Activos: trata la responsabilidad sobre los activos y el manejo de los soportes de almacenamiento.
5. Control de Accesos: requisitos de la organización para acceder a la información.
6. Cifrado: incluye los controles como políticas de uso de controles de cifrado y la gestión de claves.
7. Seguridad Física y Ambiental: trata sobre la seguridad no solo a nivel tecnológico, también a nivel físico.
8. Seguridad de las Operaciones: incluye procedimientos y responsabilidades.
9. Seguridad de las Comunicaciones: gestión de la seguridad de la red y gestión de las transferencia de información.
10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información, seguridad en los procesos de desarrollo y soporte.
11. Relaciones con los Proveedores: seguridad de la información cuando se trata con proveedores.
12. Gestión de Incidencias que afectan a la Seguridad de la Información.
13. Aspectos de seguridad de la información para la Gestión de la Comunidad del Negocio.
14. Conformidad: legislación, normas y políticas relacionadas con la seguridad.
La norma ISO 27002 se actualiza regularmente para adecuarse a la realidad social en la que se desarolla. Os cuento las diferencias entre la versión de 2005 y la de 2013.
ISO/IEC 27002:2005 vs. ISO/IEC 27002:2013
La versión de 2013 es más útil que la de 2005 porque se ajusta más a la realidad. Las principales diferencias de estas versiones son:- Estructura: la ISO/IEC27002:2015 tenía once capítulos mientras que la ISO/IEC27002:2013 tiene catorce. Por lo tanto, la versión de 2013 incluye temas que la versión de 2005 no trataba. Algunos de estos temas son: la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores. Sin embargo, a pesar de haber ampliado el contenido en la versión más reciente, esta es más corta que la del 2005. La ISO/IEC27002:2005 tenía 106 páginas y la ISO/IEC27002:2013 tiene 78.
- Objetivos de control: en la versión más actualizada (2013) se han obviado algunos de los objetivos que tenía la ISO/IEC27002:2005.
- Subsecciones: la ISO/IEC27002:2013 además de tener más capítulos, también tiene subsecciones nuevas que tratan sobre la seguridad de gestión de proyectos, la gestión de activos, la instalación del software, el desarrollo seguro, los principios de ingeniería de sistemas seguros, etc. Cabe mencionar que muchas de las secciones de la versión de 2005 se actualizaron, reescribieron, dividieron o trasladaron a otras secciones.
- Controles:la versión del 2013 comprime algunos de los controles de la versión de 2005 ya que en la antigua aparecen de manera más explícita y amplia.
- Terminología: algunas palabras o conceptos se remplazaron por otras cuando se actualizo la versión de 2005. Ejemplos: la palabra privilegios pasó a ser derechos del acceso privilegiado, el concepto usuarios de terceros se convirtió en externos partido usuarios).
Estas son las principales diferencias, espero que os haya interesado esta entrada.
Un saludo bloggeros!
Claudia Blanco Prego.
Comentarios
Publicar un comentario