Práctica 6

Actividad 1. Norma ISO/IEC 27002 y diferencias entre la versión de 2005 (ISO/IEC 27002:2005) y la versión de 2013 (ISO/IEC 27002:2013).

 

La norma ISO 27002 es un estándar para la seguridad de la información publicado por la organización internacional de normalización y la comisión electrotécnica internacional. La versión más reciente de la norma ISO 27002:2013 es un complemento para la norma ISO 27001. La norma ISO 27002 está organizada en 14 dominios, 35 objetivos de control y 114 controles. El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.

La norma ISO 27002 fue publicada originalmente como un cambio de nombre de la norma ISO 17799. En 2005 aparece una nueva versión, junto con la publicación de la norma ISO 27001. En la nueva versión 2013 de la norma se encuentran los controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los cuales se encuentra expuesta la organización. A partir de esta actualización, las organizaciones pueden seguir una guía para implementar los controles de seguridad de la organización y las prácticas a seguir para mantener la seguridad de la información. Entre los cambios, creo importante destacar que se concede una sección propia a todo aquello relacionado con los dispositivos móviles y el teletrabajo: Sección 6 “Organización de la Seguridad de la Información”. Esto anteriormente se encontraba englobado en la sección Control de Accesos, en la que actualmente se explica todo aquello relacionado con el sistema operativo, las aplicaciones y la información. Asimismo, en esta versión se incluye todo aquello relacionado con la criptografía en otro apartado: Sección 10 “Cifrado”, 10.1. En definitiva, las principales diferencias son que en la última versión se añaden 3 capítulos nuevos (constituyendo de este modo los 14 capítulos ya mencionados) y se incorporan algunas secciones, además de modificar algunas de las anteriores. 

 

Actividad 2.

Actividad 3.

Actividad 4.

Actividad 5.

He elegido el dominio 5 “Políticas de seguridad de la información”.  El objetivo del control 5.1 es el de dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones. Podemos analizar los siguientes controles del riesgo:

5.1.1. “Políticas para la seguridad de la información”, este control explica que debería definirse un conjunto de políticas para la seguridad de la información, que estuviese aprobado por la dirección y fuera publicado y comunicado a los empleados y a todas las partes externas relevantes.

5.1.2. “Revisión de las políticas para la seguridad de la información”, pone de manifiesto que las políticas para la seguridad de la información se deben planificar y revisar con regularidad o si ocurren  cambios significativos para garantizar su idoneidad, adecuación y efectividad.