Transcript
NORMA ISO27001:2014 ELABORADO POR: ISAURA GUADALUPE SARMIENTO PANTI
NORMA ISO 27001:2014 El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven una revolución tecnológica tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a un avance en las tecnologías conocidas como !AC "las siglas inglesas de social, móvil, analíticas y nu#e$.
%racias a la Asociación Espa&ola de 'ormalización "AE'()$, entidad líder en certi*cación de istemas de %estión, +roductos y ervicios, y responsa#le del desarrollo y difusión de las normas 'E, ya se cuenta con la -ltima versión de la norma UNE-ISO/IEC 27001:2014 dedicada 27001:2014 dedicada a la gestión de la seguridad seguridad de la información en las empresas. empresas.
¿QUÉ ES LA NORMA ISO 27001:2014? ISO 27001 es una norma internacional emida por la Organización Internacional de Normalización (ISO) y describe cómo gesonar la seguridad de la inormación en una empresa! "a re#isión m$s reciente de esta norma ue publicada en 201% y a&ora su nombre completo es ISO'I 27001*201%!
OBJETO Y CAMPO DE APLICACIÓN NORMA ISO 27001:2014 sta norma norma internacional internacional especi+ca los riesgos para para el establecimiento establecimiento,, implementación, implementación, mantenimiento mantenimiento y me-ora connua de un sistema de gesón de seguridad de la inormación inormación en el conte.to de la organización! sta norma tambi/n incluye los reuisitos para la apreciación y el tratamiento de los riesgos de la seguridad de la inormación a la medida de las necesidades de la organización! "os reuisitos establecidos en esta norma internacional son gen/ricos y aplicables a todas las organización, cualuiera ue sea su po, tamao o naturaleza!
S
/a nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” a!o el A"e#o S$ utilizado S$ utilizado en todas las normas de istemas de %estión que posi#ilita su incorporación con otros sistemas "calidad, medio am#iente o salud en el tra#a0o$ de forma m1s sencilla.
(tra novedad es que la nueva versión de la norma intensi*ca y re%uer&a la 'e!ora co"ti"ua, co"ti"ua , fundament1ndose en el ciclo (e'i") o *+,A "+lani*car, *+,A "+lani*car, 2acer, 3eri*car y Actuar$.
4estaca una 'aor co"sideraci." releva"cia de la or)a"i&aci.", or)a"i&aci." , al liderazgo y compromiso de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a la de*nición y seguimiento de los o#0etivos de seguridad de la información.
/a nueva versión ISO27001 incluye 556 controles respecto a los 577 de la ISO/IEC 27001:200 que estudian reforzar los an1lisis relacionados relacionados a la criptografía criptografía y con los proveedores.
ANEXO ISO 27001:2014.DOMINIO
TOTAL DE CONTROLES
A.5 Polítcas d S!"#$dad d la I%&o#'ac$(% "a ol3ca de Seguridad de la Inormación de una organización debe de+nir las decisiones ue &a tomado la organización organización en relación a la seguridad del almacenamiento y procesamiento procesamiento de la inormación! ste con-unto de decisiones deber3a basarse en reuisitos legales y regulatorios, en la demanda del mercado, en los ob-e#os de negocio y en la +loso4a y cultura de la empresa! n base a la ol3ca de Seguridad de la Inormación se tomar$n muc&as medidas de seguridad y se de+nir$n otras pol3cas y documentos y todos deber$n estar alineados con la ol3ca de Seguridad de la Inormación! Inormación! 5odos los miembros de la organización, deben conocer la ol3ca de Seguridad de la Inormación y deben comprometerse a cumplirla!
A.) O#!a%$*ac$(% d la S!"#$dad d I%&o#'ac$(% O+,t-o: stablecer un marco de reerencia de gesón para iniciar y controlar la implementación y operación de la seguridad de la inormación dentro de la organización!
"a gesón de la seguridad de la inormación debe realizarse mediante un proceso sistem$co, documentado y conocido por toda la organización! 6 na ol3ca de Seguridad de Inormación 6 n 8esponsable de Seguridad de Inorma I normación ción 6 n omit/ de 9esón de Seguridad de Inormación Ob-e#o* stablecer un marco de reerencia de gesón para iniciar y controlar la implementación y operación de la seguridad de la inormación inormación dentro de la organización! organización!
A.7 S!"#$dad % los Rc"#sos Rc"#sos "'a%os contrastas enenden sus responsabilidades y son O+,t-o: :segurar ue los empleados y contrastas con#enientes para los roles para los ue se les considera! "a seguridad en esta gesón debe tener en cuenta la selección y contratación, contratación, la ormación de empleados y la salida de la empresa!
A./ st(% d Act-os apropiadas O+,t-o: Iden+car los ac#os de la organización y de+nir responsabilidades de protección apropiadas 8esponsabilidad por los :c#os* "ograr mantener la protección adecuada de los ac#os de la organización! organización! 5odos 5odos los ac#os se deben incluir y deben tener un dueo designado! Se deben iden+car los dueos para todos los ac#os y asignar la responsabilidad para el mantenimiento de los controles controles adecuados!
A. Co%#ol d Accsos Ob-e#o* "imitar el acceso a la inormación inormación y a las instalaciones de procesamiento procesamiento de la inormación! inormación! omo parte de este dominio se desarrollan los lineamientos para la pol3ca de control de acceso, la gesón de accesos de usuarios, los controles de acceso a la red, al sistema opera#o, opera#o, a las aplicaciones y a la inormación! :dem$s incluye las consideraciones consideraciones para el mane-o de ordenadores port$les port$les y teletraba-o!
A.10 C#$3o!#aa Ob-e#o* :segurar el uso apropiado y eec#o de la criptogra4a criptogra4a para proteger la con+dencialidad, autencidad y'o integridad de l a inormación! "a introducción de alg;n control ene ue determinarse siempre conorme a la iden+cación de cualuier riesgo ue la empresa no asume, y cuya in#ersión in#ersión no puede llegar a m$s ue el #alor del ac#o el cual se protege, por lo ue entonces no llegar3a a ser rentable!
A.11 S!"#$dad ís$ca 6 A'+$%al A'+$%al Ob-e#o* Impedir acceso 4sico no autorizado, dao e intererencia a la inormación y a las instalaciones de procesamiento de la inormación de la organización! "os instalaciones ue est/n in#olucradas con los ac#os de inormación deben cumplir con las normas de seguridad 4sica y ambiental, para garanzar ue la inormación mane-ada en /stas permanezca siempre protegida de accesos 4sicos por parte de personal no autorizado o por actores ambientales ue no se puedan controlar!
A.12 S!"#$dad % las O3#ac$o%s Ob-e#o* :segurar ue las operaciones de instalaciones de procesamiento de la inormación sean correctas y seguras!
A.1 S!"#$dad % las Co'"%$cac$o%s O+,t-o: :segurar la protección de la inormación en las redes y sus instalaciones de procesamiento procesamiento de la inormación de apoyo! Ma%,o d los Md$os #itar la di#ulgación, modi+cación, rero o destrucción de ac#os no autorizada, y la interrupción en las ac#idades del negocio! stos medios se deber3an controlar y proteger de orma 4sica! Intercambio de la Inormación
are ue se intercambian dentro de la organización y con cualuier endad e.terna! Intercambio de la Información are ue se intercambian intercambian dentro de la organización organización y con cualuier endad e.terna!
A.14 Ad8"$s$c$(%9 Dsa##ollo 6 Ma%%$'$%o Ma%%$'$%o d S$s'as O+,t-o: 9aranzar ue la seguridad de la inormación es una parte integral de los sistemas de inormación a tra#/s del ciclo de #ida completo! sto tambi/n incluye los reuisitos para sistemas de inormación inormación ue proporcionen proporcionen ser#icios sobre redes p;blicas! ste domino est$ dirigido a auellas organizaciones ue desarrollen so=>are internamente o ue tengan un contrato con otra organización ue sea la encargada de desarrollarlo! Se ene ue establecer los reuisitos en la etapa de implementación o desarrollo del so=>are para ue sea seguro!
A.15 Rlac$o%s co% P#o-do#s protección a los ac#os de la organización organización ue son accesibles por los pro#eedores! pro#eedores! O+,t-o: :segurar protección (8S) 8esponsabilidad Social mpresarial* mpresarial* ?@acer negocios basados en principios /co y apegados a la ley ! "a empresa (no el empresario) ene un rol ante la s ociedad, ante el entorno en el cual opera!
A.1) st(% d I%c$d%s d S!"#$dad d la I%&o#'ac$(% I%&o#'ac$(% O+,t-o: :segurar un enoue consistente y eec#o a la gesón de incidentes de seguridad de la inormación, incluyendo la comunicación sobre e#entos de seguridad y debilidades! % $%c$d% d s!"#$dad s "% -%o o "% co%,"%o d -%os9 %o dsados o %o s3#ados9 8" t%% "%a 3#o+a+$l$dad s$!%$;cat-a d co'3#o'# las o3#ac$o%s d %!oc$o 6 a'%a*a# la s!"#$dad d la $%&o#'ac$(%.
l procedimiento de gesón de incidencias debe documentar cl$ramente los roles y responsabilidades de los actores parcipantes!
A.17 Aspectos de la Seguridad de la Información dentro de la Continuidad el Negocio Objetivo: "a connuidad de seguridad de la inormación debe estar embebida en los sistemas de gesón de connuidad del negocio de la organización!
A.1/ C"'3l$'$%o inracciones de las obligaciones legales, estatutarias estatutarias , regulatorias regulatorias o contractuales contractuales relacionadas O+,t-o: #itar inracciones a la seguridad de la inormación inormación y a cualuier reuisito de seguridad!