domingo, 10 de febrero de 2019

ISO/IEC 27002 (Sesión 6)


 ISO/IEC 27002. 

 Actividad 1.

En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000.

En este grupo se encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.

Diferencias entre el antiguo estándar (ISO IEC 27002 2005) y el nuevo (ISO IEC 27002 2013):

         I.          La estructura:
ISO IEC 27002 2005 tenía 11 secciones principales mientras que ISO IEC 27002 2013 ahora tiene 14 (Las secciones discuten criptografía, seguridad de las comunicaciones y relaciones con proveedores).
A pesar de que el nuevo estándar tiene tres secciones más, es más corto y más centrado que el viejo, ya que el antiguo estandarte tenía 106 páginas de contenido, y el nuevo solo tiene 78.

       II.          ISO IEC 27002 2013 también tiene varias subsecciones nuevas (en ellas se discuten la seguridad de la gestión de proyectos, activo manejo, instalación de software, desarrollo seguro, principios de ingeniería de sistemas seguros, seguros entornos de desarrollo, pruebas de seguridad del sistema, seguridad del proveedor, la evaluación de Eventos de seguridad, planificación, implementación y verificación).

Además, la mayoría de las secciones se han reescrito, al menos en cuanto a extensión, y algunas secciones se han dividido o movido a otra secciones (Por ejemplo, la antigua sección 14 sobre continuidad de negocio ha sido completamente reelaborada).

      III.          También ha habido algunos cambios en la terminología:
“Privilegios” se ha convertido en derechos de acceso privilegiados, la palabra “contraseñas” ha sido reemplazada por el secreto de la frase, los terceros usuarios ahora se conocen como usuarios externos, el código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos etc.
Actividad 2. Tabla de Dominios de seguridad ISO






















*La ponderación hará referencia a la probabilidad de que no exista un riesgo.

Actividad 3. Numero de medidas de cada dominio ISO
(expresado por cantidades)

























Actividad 4. Dominio de seguridad ligada a los recursos humanos





















Actividad 5. Dominio 10: Cifrado
(Explicación breve)

El décimo dominio de la norma ISO trata el cifrado con el objetivo de utilizar sistemas y técnicas criptográficas para proteger la información relacionada con el análisis de riesgo que se haya ya efectuado, con el fin de asegurar una adecuada protección de su integridad y confidencialidad.

Para ello, tiene en cuenta dos aspectos:

- La necesidad de una política de uso de los controles criptográficos, ya que se debe desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información.
- Una gestión de claves, ya que se debe desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida.












Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)