PRÁCTICA 6

Prácticas sobre salvaguardas y medidas de seguridad de la información.

Actividad 1:

Principalmente, aprenderemos más sobre los estándares ISO/IEC 27002, descubriremos qué son y cuántas medidas de seguridad define el estándar, la diferencia entre la versión 2005 y la versión 2013. se expresan como ISO/IEC 27002:2005 e ISO/IEC 27002: 2013, respectivamente.

ISO 27002 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La última versión de la norma ISO 27002:2013. Complementa la norma ISO 27001.

La norma ISO 27002 está estructurada en torno a 14 áreas, 35 objetivos de auditoría y 114 auditorías.

1. Política de privacidad de la información

Enfatiza la importancia de tener una política de privacidad adecuada, aprobada por la gerencia, comunicada a todos los empleados y revisada y actualizada regularmente a medida que cambian los cambios internos y externos. 

2. Organización de seguridad de la información

Se esfuerza por crear un marco de seguridad eficaz en todos los roles, tareas, seguridad y dispositivos móviles.

3. Seguridad relacionada con los recursos humanos

La mayoría de los eventos que suceden en una organización se deben a errores humanos. Además de la importancia de promover, mantener y mejorar el nivel adecuado de confidencialidad con la información, los empleados necesitan conciencia y capacitación sobre cómo usar la información para hacer crecer su negocio y la importancia de la seguridad de la información para hacer crecer su negocio. Las características de los datos y de la información que procesan son: La clave es uno de los objetivos a perseguir.

4. Gestión de activos

Se centra en ver la información como un recurso y en cómo tomar las medidas adecuadas para evitar problemas, brechas de seguridad y cambios no deseados.

5. Control de acceso

Controle quién tiene acceso a la información relevante. Configure todos los controles como el registro de usuarios, la gestión de acceso, algunos controles en esta sección.

6. Criptografía

Si procesamos información confidencial o importante, utilizamos varias técnicas de encriptación para proteger y garantizar la autenticidad, confidencialidad e integridad de esa información.

7. Seguridad material y ambiental

La seguridad no es solo técnica, sino también física.

8. Seguridad operativa

Tiene un fuerte componente técnico que cubre todos los aspectos disponibles como protección contra malware, copias de seguridad, control de software durante la operación, gestión de vulnerabilidades...

9. Confidencialidad de las comunicaciones

La mayor parte del intercambio de información y datos a varias escalas se realiza a través de las redes sociales. Asegúrese de que la forma en que se transmiten estos datos importantes sea segura y esté completamente protegida.

10. Adquisición, desarrollo y mantenimiento de sistemas informáticos

La seguridad no es un aspecto de un dominio específico, un aspecto de un proceso, ni es un proceso general, abarca toda la organización y debe existir como un factor horizontal importante en el ciclo de vida de un sistema de gestión.

11. Lista de proveedores

En el establecimiento de relaciones con terceros (como proveedores), deberá adoptar medidas de seguridad que pueden ser recomendables y en algunos casos incluso necesarias. 

12. Gestión de incidentes de seguridad de la información

No podemos hablar de controles de seguridad, y mucho menos de incidentes relacionados con la seguridad de componentes críticos. Es precisamente para prepararse para estos eventos que una respuesta rápida y eficaz es fundamental para evitar que se produzcan en el futuro.

13. Seguridad de la información en la gestión de la continuidad del negocio

No sabemos qué datos necesitamos hasta que los perdemos. La pérdida de información relevante y la incapacidad de recuperarla de alguna manera podría poner en peligro la continuidad del negocio de la organización.

14. Compatibilidad

Las leyes, reglamentos y políticas aplicables pertinentes a esta área y que coexisten con la organización son importantes. Ocupan un lugar enorme en cualquier sistema de gestión y es necesario asegurarse de que esté monitoreado y actualizado con los últimos cambios, esto es necesario para no sorprendernos y molestarnos.

Podemos encontrar la diferencia entre ISO 27002 2005 y 2013 de la siguiente manera:

La principal diferencia es que ISO 27002:2005 constaba originalmente de 11 secciones o dominios de seguridad clave, mientras que en 2013 incluía 14 secciones o dominios principales, aunque esta última es más corta y más específica. El primero, aunque con más partes. Estas secciones recién agregadas son Criptografía, Confidencialidad de la comunicación y Relaciones con los proveedores.

 En 2005 se realizaron 133 inspecciones y en 2013 - 114 inspecciones. 

También tiene 35 objetivos de control. Otra diferencia es el número de barras. Estas nuevas secciones cubren la seguridad de gestión de proyectos, gestión de activos, instalación de software, desarrollo de seguridad, principios de ingeniería de sistemas de seguridad, entorno de desarrollo seguro, pruebas de seguridad de sistemas, seguridad de proveedores, evaluación de incidentes de seguridad, planificación, implementación y verificación de la continuidad de la seguridad de la información y la utilización de dispositivos redundantes. para procesar información. Otra diferencia es el número de solicitudes. En 2005 hubo 130 solicitudes y en 2013 hubo 102 solicitudes.

Actividad 2:

Actividad 3:

Actividad 4:

Actividad 5:

El dominio ISO 27002 seleccionado es el 10, cifrado.

Su finalidad es proteger la información utilizando técnicas y sistemas criptográficos para asegurar la adecuada protección de su confidencialidad e integridad.

El uso de medidas criptográficas debe basarse en el uso de políticas criptográficamente controladas y una gestión de claves establecida para respaldar el uso de técnicas criptográficas.