La ISO/IEC 27002 (antes ISO 17799) es un estándar internacional de la seguridad de la información, publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su propósito es establecer mejores prácticas y directrices para la gestión de la seguridad de la información dentro de las organizaciones.
Su estructura
El estándar se organiza en 11 cláusulas clave, cada una con objetivos y controles específicos:
1. Políticas de seguridad
Proveen dirección y soporte a la gestión de la seguridad, alineadas con requisitos legales y del negocio.
2. Aspectos organizativos de la seguridad de la información
• Organización interna: administración de la seguridad dentro de la empresa.
• Relación con terceros: protección de la información que se comparte o procesa externamente.
3. Gestión de activos
• Inventario y clasificación de activos.
• Definición de responsabilidades de uso y propiedad.
4. Seguridad ligada a los recursos humanos
• Roles y responsabilidades claras en contratos.
• Capacitación periódica, conciencia sobre riesgos, y medidas disciplinarias.
5. Seguridad física y ambiental
• Áreas seguras con controles de acceso físico (puertas, tarjetas, recepcionistas).
• Protección frente a amenazas externas y ambientales (incendios, inundaciones).
6. Gestión de comunicaciones y operaciones
• Documentación de procedimientos operativos.
• Control de cambios y separación de ambientes (desarrollo, pruebas, producción).
• Protección contra malware, redes seguras y control de servicios de terceros.
• Monitoreo continuo, auditorías y análisis de fallas.
7. Control de acceso
• Políticas de autenticación, registro de usuarios y privilegios.
• Protección de equipos desatendidos y accesos a red, sistemas y aplicaciones.
• Consideraciones para redes inalámbricas, móviles y portátiles.
8. Adquisición, desarrollo y mantenimiento de sistemas de información
• Inclusión de requisitos de seguridad desde el diseño.
• Gestión de claves criptográficas.
• Protección de archivos de sistema y código fuente.
• Procedimientos seguros para instalación de software y control de cambios.
9. Gestión de incidentes de seguridad de la información
• Reporte y análisis de incidentes.
• Respuesta oportuna y canales adecuados de comunicación.
• Monitoreo de costos, volúmenes y tipos de incidentes.
10. Gestión de la continuidad del negocio
• Planes de continuidad y recuperación ante desastres.
• Evaluación de riesgos e impacto en operaciones críticas.
• Actualización y pruebas constantes de los planes.
11. Cumplimiento
• Asegurar el cumplimiento legal, contractual y regulatorio.
• Identificación clara de las leyes y normativas aplicables.
