SESIÓN 6

SESIÓN 6

Actividad 1: Norma ISO/IEC 27002 (ISO/IEC 27002:2005 e ISO/IEC 27002:2013)

La norma ISO/IEC 27002 consiste en una guía de buenas prácticas para el desarrollo de un SGSI. Es un estándar que contiene los objetivos de control y los controles recomendables para la protección de la seguridad de la información. Fue publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más actual de esta norma es de 2013, cuyo antecedente es la ISO/IEC 27002:2005, que pasó a ser denominada como tal en el 2007. A continuación, desarrollaré más detalladamente cada una de estas y sus diferencias.

Norma ISO/IEC 27002:2005

Cuenta con 11 dominios, 39 objetivos de control y 133 controles recomendables. 

Norma ISO/IEC 27002:2013

Cuenta con 14 dominios. Los tres nuevos añadidos respecto a su anterior versión son las secciones 10 (cifrado), 13 (seguridad en las telecomunicaciones) y 15 (relaciones con los suministradores). Tiene 35 objetivos de control y 114 controles.

Actividad 2: Hoja de calculo de riesgos de cada dominio de la ISO/IEC 27002:2013

Actividad 3: Peso de cada dominio en la ISO/IEC 27002:2013

Actividad 4: Hoja de cálculo del dominio "Seguridad ligada a los Recursos Humanos"

Actividad 5: Elección de un dominio e investigación del mismo

Dominio: 15. Relaciones con suministradores

Este dominio de la norma hace referencia a la gestión de la seguridad que la empresa debe implementar en lo que se refiere a aquellos acuerdos que la empresa mantiene con terceros.

Dentro de este dominio podemos encontrar dos objetivos de control: seguridad de la información en las relaciones con suministradores y gestión de la prestación del servicio por suministradores.

15.1 Seguridad de la información en las relaciones con suministradores

Este objetivo de control consiste en asegurar que todos aquellos activos de la empresa que están accesibles para los suministradores estén protegidos. Dentro de este objetivo de control encontramos los siguientes controles:

• 15.1.1 Política de seguridad de la información para suministradores: con el fin de reducir el riesgo que existe por el acceso de los proveedores a los activos de la empresa es necesario que esta disponga de una política de seguridad concreta para este fin.
• 15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: cada acuerdo que se establece con cada uno de los proveedores de la empresa debería incluir los requisitos de seguridad de la información pertinentes.
• 15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: cada acuerdo establecido con cada proveedor de la empresa debería incluir los requisitos de seguridad de la información necesarios para abordar el riesgo derivado del uso de las TTICs en esa cadena de suministro.

15.2 Gestión de la prestación del servicio por suministradores

Este objetivo de control consiste en establecer acuerdos con el nivel de seguridad oportuno y mantener la actividad de los proveedores alineada con ese acuerdo.

• 15.2.1 Supervisión y revisión de los servicios prestados por terceros: la empresa deberá controlar regularmente la actividad de los proveedores mediante auditorías.
• 15.2.2 Gestión de cambios en los servicios prestados por terceros: cuando la empresa cambie de proveedor se deberán mantener las políticas de SI y los controles. Además, se debe prestar especial importancia a la criticidad de la información comercial.