Norma ISO 27002: El dominio política de seguridad
Norma ISO 27002
La norma ISO 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información que ha publicado la organización internacional de normalización y la comisión electrotécnica internacional. La versión más reciente de la norma ISO 27002:2013.
La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables para iniciar, implementar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad, integridad y disponibilidad. Para saber más sobre los demás dominios puede leer La norma ISO 27002 complemento para la ISO 27001.
La norma ISO 27002 se encuentra enfocada a todo tipo de empresas, independientemente del tamaño, tipo o naturaleza.
La norma ISO 27002 se encuentra organizado en base a los 14 dominios, 35 objetivos de control y 114 controles.
El documento denominado política es aquel que expresa una intención e instrucción general de la forma que ha sido expresada por la dirección de la empresa.
El contenido de las políticas se basa en el contexto en el que opera una empresa y suele ser considerado en su redacción todos los fines y objetivos de la empresa, las estrategias adoptadas para conseguir sus objetivos, la estructura y los procesos utilizados por la empresa. Además, de los objetivos generales y específicos relacionados con el tema de la política y los requisitos de las políticas procedentes de niveles mucho más superiores y que se encuentran relacionadas.
La estructura típica de los documentos de políticas puede ser:
- Resumen: se establece una visión general de una extensión breve, uno o dos frases y que pueden aparecer fusionadas con la introducción.
- Introducción: se establece una pequeña explicación del asunto principal de la política.
- Ámbito de aplicación: es la descripción de los departamentos, áreas o actividades de una empresa a las que afecta la política. Cuando es relevante en este apartado se mencionan otras políticas relevantes a las que se pretende ofrecer cobertura desde ésta.
- Objetivos: es la descripción de la intención de la política.
- Principios: se describen las reglas que conciernen a las acciones o decisiones para conseguir los objetivos. En algunos casos puede ser de utilidad identificar de forma previa los procesos calve que están asociados a un asunto principal de la política para después identificar las reglas de operación de los procesos.
- Responsabilidades: descripción de quién es el responsable de qué acciones pueda cumplir con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos organizativos, además de las responsabilidades de las personas que tienen sus roles asignados.
- Resultados clave: describe todos los resultados relevantes para las actividades de la empresa que se obtienen cuando se cumplen los objetivos.
- Políticas relacionadas: se describen las políticas relevantes para cumplir con los objetivos, se indican detalles adicionales en relación con los temas específicos.
La política de alto nivel se encuentra relacionada con un Sistema de Gestión de Seguridad de la Información que suele estar apoyada por políticas de bajo nivel, específicas para aspectos concretos en temáticas como el control de accesos, la clasificación de la información, la seguridad física y ambiental, utilizar activos, dispositivos móviles y protección contra los malware.
Si partimos del principio típico en seguridad “lo que no está permitido está prohibido” cada empresa debe detectar las necesidades de los usuarios y valorar los controles necesarios que fundamentan las políticas aplicables, que se aplican en una mejor estructura y relaciones entre ellas para su gestión.
Directrices de la dirección en seguridad de la información
La gerencia debe establecer de forma clara las líneas de las políticas de actuación y manifiesta su apoyo y compromiso a la seguridad de la información, publicando y manteniendo políticas de seguridad en toda la empresa.
Actividades de control del riesgo
La política para la seguridad de la información: se tiene que definir un conjunto de políticas para la seguridad de la información, esto se aprobó por la dirección de la organización, se publica y comunica a todos los empleados así como a todas las partes externas relevantes.
Revisión de las políticas para la seguridad de la información: las políticas para la seguridad de la información se debe planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuación y efectividad.
Métricas asociadas
Cobertura de la política, es decir, el porcentaje de secciones de la norma ISO 27002 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas. El grado de despliegue y adoptar las políticas en las empresas.
Software ISO 27001
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.