Instituto Tecnolgico

de Acapulco
Ingeniera en Sistemas
Computacionales
Seguridad en Tecnologas de la
Informacin
Profesor: Dr. Eduardo de la Cruz Gmez
Alumno: Carlos Alberto Garca Garca

Trabajo:

Investigacin de la Unidad 2 Gestin de la Seguridad de

la Informacin respecto a la norma ISO/IEC 27002

H o r a r i o : 11:00 am 12:00 pm
05/03/2015

NDICE
Introduccin...............................................................................................................3
2.1 Evaluacin de Riesgos........................................................................................5

2.2 Requerimientos de Seguridad.............................................................................5

2.3 Polticas de Seguridad.........................................................................................8
2.4 Organizacin de la Seguridad............................................................................11
2.5 Gestin de Activos.............................................................................................15
Conclusin...............................................................................................................19

Introduccin
Qu es ISO?

ISO es una organizacin no gubernamental que forma un puente entre los

sectores pblicos y privados.
Se trata de la organizacin desarrolladora y publicadora de Estndares
Internacionales ms grande en el mundo. ISO es una red de instituciones de
estndares nacionales de 157 pases.
Debido a que la informacin es un activo no menos importante que
otros activos comerciales, es esencial para cualquier negocio u organizacin
contar con las medidas adecuadas de proteccin de la informacin, especialmente
en la actualidad, donde la informacin se difunde a travs de miles y miles
de redes interconectadas.

Esto

multiplica

la

cantidad

de

amenazas

vulnerabilidades a las que queda expuesta la informacin.

La informacin puede existir en muchas formas, por ejemplo puede estar impresa
o escrita en papel, almacenada electrnicamente, transmitida por correo o
utilizando medios electrnicos, hablada en una conversacin, etc. Sea cual sea la
forma en la que se tenga la informacin, debe estar en todo caso protegida.
La seguridad de la informacin se logra implementando un conjunto adecuado de
controles, polticas, procesos, procedimientos, estructuras organizacionales,

otras acciones que hagan que la informacin pueda ser accedida slo por aquellas
personas que estn debidamente autorizadas para hacerlo.
Es importante y necesario para las empresas realizar una evaluacin de riesgos
para identificar amenazas para los activos, as como tambin para conocer y
analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o
alteracin de la informacin, y el impacto potencial que esto llegara a tener. Una
vez se hayan identificado los riesgos, se procede a seleccionar controles
apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.

Estndar Internacional ISO/IEC 27002(antiguamente ISO/IEC 1779)

3

El

documento

del

Estndar

Internacional

ISO/IEC

27002,

despus

de

la introduccin, se divide en quince captulos.

Este Estndar Internacional va orientado a la seguridad de la informacin en las
empresas u organizaciones, de modo que las probabilidades de ser afectados por
robo,

dao

prdida

de

informacin

se

minimicen

al

mximo.

Este Estndar contiene un nmero de categoras de seguridad principales, entre

las cuales se tienen once clusulas:

a) Poltica de seguridad.

b) Aspectos organizativos de la seguridad de la informacin.

c) Gestin de activos.

d) Seguridad ligada a los recursos humanos.

e) Seguridad fsica y ambiental.

f) Gestin de comunicaciones y operaciones.

g) Control de acceso.

h) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

i) Gestin de incidentes en la seguridad de la informacin.

j) Gestin de la continuidad del negocio.

k) Cumplimiento

2.1 Evaluacin de Riesgos

Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a
ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas
adecuadas de control para reducir la probabilidad de que ocurran consecuencias
negativas al no tener una buena seguridad.
La reduccin de riesgos no puede ser un proceso arbitrario y regido por la
voluntad de los dueos o administradores de la empresa, sino que adems de
seguir medidas adecuadas y eficientes, se deben tener en cuenta los
requerimientos y restricciones de la legislacin y las regulaciones nacionales e
internacionales, objetivos organizacionales,

bienestar

de clientes y

trabajadores, costos de implementacin y operacin (pues existen medidas de

seguridad de gran calidad pero excesivamente caras, tanto que es ms cara la
seguridad que la propia ganancia de una empresa, afectando la rentabilidad).
Se debe saber que ningn conjunto de controles puede lograr la seguridad
completa, pero que s es posible reducir al mximo los riesgos que amenacen con
afectar la seguridad en una organizacin.

2.2 Requerimientos de Seguridad

Cumplimiento
El diseo, operacin, uso y administracin de los sistemas de informacin estn
regulados por disposiciones legales y contractuales.
Los requisitos normativos y contractuales pertinentes a cada sistema de
informacin deberan estar debidamente definidos y documentados.
El objetivo es cumplir con las disposiciones normativas y contractuales a fin de
evitar sanciones administrativas a la organizacin y/o a los empleados que
incurran en responsabilidad civil o penal como resultado de incumplimientos.
Se debe revisar la seguridad de los sistemas de informacin peridicamente a
efectos de garantizar la adecuada aplicacin de la poltica, normas y

procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de

informacin.
Cumplimiento de los requisitos legales y contractuales
El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser
objeto de requisitos estatutarios, reguladores y de seguridad contractuales.
Los requisitos legales especficos deberan ser advertidos por los asesores legales
de la organizacin o por profesionales adecuadamente cualificados.
Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar
para la informacin que se genera en un pas y se transmite a otro pas distinto
(por ej., flujos de datos entre fronteras).
Obtenga asesoramiento legal competente, especialmente si la organizacin opera
o tiene clientes en mltiples jurisdicciones.
Actividades de control del riesgo
Identificacin de la legislacin aplicable: Se deberan identificar, documentar y
mantener al da de manera explcita para cada sistema de informacin y para la
organizacin todos los requisitos estatutarios, normativos y contractuales
legislativos junto al enfoque de la organizacin para cumplir con estos requisitos.
Derechos de propiedad intelectual (DPI): Se deberan implementar procedimientos
adecuados para garantizar el cumplimiento con los requisitos legislativos,
normativos y contractuales relacionados con los derechos de propiedad intelectual
y utilizar productos software originales.
Proteccin de los registros de la organizacin: Los registros se deberan proteger
contra prdidas, destruccin, falsificacin, accesos y publicacin no autorizados de
acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.
Proteccin de datos y privacidad de la informacin personal: Se debera garantizar
la privacidad y la proteccin de la informacin personal identificable segn
requiere la legislacin y las normativas pertinentes aplicables que correspondan.
Regulacin de los controles criptogrficos: Se deberan utilizar controles de cifrado
de la informacin en cumplimiento con todos los acuerdos, la legislacin y las
normativas pertinentes.
6

Mtricas asociadas
Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y
analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o
nivel de riesgo (alto, medio o bajo).
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de
otra forma admisible, han sido considerados conformes.
Revisiones de la seguridad de la informacin
Se deberan realizar revisiones regulares de la seguridad de los sistemas de
informacin.
Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y
las plataformas tcnicas y sistemas de informacin deberan ser auditados para el
cumplimiento de los estndares adecuados de implantacin de la seguridad y
controles de seguridad documentados.
Alinee los procesos de auto-evaluacin de controles de seguridad con las autoevaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc.,
complementados por revisiones de la direccin y verificaciones externas de buen
funcionamiento.
Deberan existir controles para proteger los sistemas en activo y las herramientas
de auditora durante el desarrollo de las auditoras de los sistemas de informacin.
Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y
estndares y mtodos de buenas prcticas similares como referencias de
comparacin.
Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la
calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras
internas del SGSI.

Actividades de control del riesgo

Revisin independiente de la seguridad de la informacin: Se debera revisar el
enfoque de la organizacin para la implementacin (los objetivos de control, los
controles, las polticas, los procesos y procedimientos para la seguridad de la
informacin) y gestin de la seguridad de la informacin en base a revisiones
independientes e intervalos planificados o cuando tengan lugar cambios
significativos en la organizacin.
Cumplimiento de las polticas y normas de seguridad: Los gerentes deberan
revisar regularmente el cumplimiento del procesamiento y los procedimientos de
informacin dentro de su rea de responsabilidad respecto a las polticas, normas
y cualquier otro tipo de requisito de seguridad correspondiente.
Comprobacin del cumplimiento: Los sistemas de informacin se deberan revisar
regularmente para verificar su cumplimiento con las polticas y normas de
seguridad dispuestas por la informacin de la organizacin.
Mtricas asociadas
Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de
cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas,
retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin
incumplimientos sustanciales.
Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas
por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de
riesgo (alto, medio o bajo).
Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que
han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo.
Tiempo medio real de resolucin/cierre de recomendaciones, respecto a los plazos
acordados por la direccin al final de las auditoras.

2.3 Polticas de Seguridad

Objetivo
Dirigir y dar soporte a la gestin de la seguridad de la informacin en concordancia
con los requerimientos del negocio, las leyes y las regulaciones.

Polticas de seguridad
Un documento denominado "poltica" es aquel que expresa una intencin e
instruccin global en la manera que formalmente ha sido expresada por la
Direccin de la organizacin.
El contenido de las polticas se basa en el contexto en el que opera una
organizacin y suelen ser considerados en su redaccin los fines y objetivos de la
organizacin, las estrategias adoptadas para alcanzar sus objetivos, la estructura
y los procesos adoptados por la organizacin, los objetivos generales y
especficos relacionados con el tema de la poltica y requisitos de las polticas
procedentes de niveles ms superiores (legales de obligado cumplimiento, del
sector al que pertenece la organizacin, de la propia organizacin de niveles
superiores

ms

amplios,

...)

relacionadas.

Una estructura tpica de los documentos de polticas podra ser:

Resumen: Poltica Resumen - Visin general de una extensin breve; una o

dos frases y que pueden aparecer fusionadas con la introduccin.

Introduccin: Breve explicacin del asunto principal de la poltica.

mbito de aplicacin: Descripcin de los departamentos, reas o

actividades de una organizacin a las que afecta/aplica la poltica. Cuando
es relevante en este apartado se mencionan otras polticas relevantes a las
que se pretende dar cobertura desde sta.

Objetivos: Descripcin de la intencin de la poltica.

Principios: Descripcin de las reglas que conciernen a acciones o

decisiones para alcanzar los objetivos. En algunos casos puede ser de
utilidad identificar previamente los procesos clave asociados con el asunto
principal de la poltica para pasar posteriormente a identificar las reglas de
operacin de los procesos.

Responsabilidades: Descripcin de quin es responsable de qu acciones

deber cumplir con los requisitos de la poltica. En algunos casos, esto
puede incluir una descripcin de los mecanismos organizativos, as como
las responsabilidades de las personas con roles designados.

Resultados clave: Descripcin de los resultados relevantes para las

actividades de la organizacin que se obtienen cuando se cumplen los
objetivos.

Polticas relacionadas: Descripcin de otras polticas relevantes para el

cumplimiento de los objetivos, usualmente se indican detalles adicionales
en relacin a temas especficos.

La poltica de alto nivel (ms genrica) habitualmente relacionada con el sistema

de gestin para la seguridad de la informacin (SGSI) suele estar apoyada por
polticas de bajo nivel, especficas a aspectos concretos en temticas como el
control de accesos, la clasificacin de la informacin, la seguridad fsica y
ambiental, uso aceptable de activos, escritorio y pantallas libres de informacin
sensible, dispositivos mviles y teletrabajo, backups, proteccin contra el malware,
etc.
Partiendo del principio tpico en seguridad "lo que no est permitido est
prohibido" cada organizacin debera detectar las necesidades de los usuarios y
valorar los controles necesarios que fundamenten las polticas aplicable, aplicando
la mejor estructura y relaciones entre ellas para su gestin.

10

Directrices de la Direccin en seguridad de la informacin

La gerencia debera establecer de forma clara las lneas de las polticas de
actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin,
publicando y manteniendo polticas de seguridad en toda la organizacin.
Actividades de control del riesgo
Polticas para la seguridad de la informacin: Se debera definir un conjunto de
polticas para la seguridad de la informacin, aprobado por la direccin, publicado
y comunicado a los empleados as como a todas las partes externas relevantes.
Revisin de las polticas para la seguridad de la informacin: Las polticas para la
seguridad de la informacin se deberan planificar y revisar con regularidad o si
ocurren cambios significativos para garantizar su idoneidad, adecuacin y
efectividad.

Mtricas asociadas
Cobertura de las polticas (es decir, porcentaje de secciones de ISO/IEC 27001/2
para las cuales se han especificado, escrito, aprobado y publicado polticas y sus
normas, procedimientos y directrices asociadas.
Grado de despliegue y adopcin de las polticas en la organizacin (medido por
auditora, gerencia o auto-evaluacin).

2.4 Organizacin de la Seguridad

Objetivo #1
El objetivo es el de establecer un esquema directivo de gestin para iniciar y
controlar la implementacin y operativa de la seguridad de la informacin en la
organizacin.
Aspectos Organizativos
11

Para establecer la administracin de la seguridad de la informacin, como parte

fundamental de los objetivos y actividades de la organizacin, se debe definir
formalmente un mbito de gestin para efectuar tareas tales como la aprobacin
de polticas de seguridad, la coordinacin de la implementacin de la seguridad y
la asignacin de funciones y responsabilidades.
Para una actualizacin adecuada en materia de seguridad se debera contemplar
la necesidad de disponer de fuentes con conocimiento y experimentadas para el
asesoramiento, cooperacin y colaboracin en materia de seguridad de la
informacin.
Las protecciones fsicas de las organizaciones son cada vez ms reducidas por
las actividades de la organizacin requiere por parte del personal interno/externo
que acceden a informacin desde el exterior en situacin de movilidad temporal o
permanente. En estos casos se considera que la informacin puede ponerse en
riesgo si el acceso se produce en el marco de una inadecuada administracin de
la seguridad, por lo que se establecern las medidas adecuadas para la proteccin
de la informacin.
Organizacin interna
La gerencia debera establecer de forma clara las lneas de la poltica de actuacin
y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando
y manteniendo una poltica de seguridad en toda la organizacin.
Se debera establecer una estructura de gestin con objeto de iniciar y controlar la
implantacin de la seguridad de la informacin dentro de la Organizacin.
El rgano de direccin debera aprobar la poltica de seguridad de la informacin,
asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad
en toda la Organizacin.
Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a
una fuente especializada de consulta en seguridad de la informacin. Deberan
desarrollarse contactos con especialistas externos en seguridad, que incluyan a
las administraciones pertinentes, con objeto de mantenerse actualizado en las
tendencias de la industria, la evolucin de las normas y los mtodos de
12

evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las

incidencias de seguridad.
Debera fomentarse un enfoque multidisciplinario de la seguridad de la
informacin, que, por ejemplo, implique la cooperacin y la colaboracin de
directores, usuarios, administradores, diseadores de aplicaciones, auditores y el
equipo de seguridad con expertos en reas como la gestin de seguros y la
gestin de riesgos.
Actividades de control del riesgo
Asignacin de responsabilidades para la SI: Se deberan definir y asignar
claramente todas las responsabilidades para la seguridad de la informacin.
Segregacin de tareas: Se deberan segregar tareas y las reas de
responsabilidad ante posibles conflictos de inters con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencionada, o el de un
mal uso de los activos de la organizacin.
Contacto con las autoridades: Se deberan mantener los contactos apropiados con
las autoridades pertinentes.
Contacto con grupos de inters especial: Se debera mantener el contacto con
grupos o foros de seguridad especializados y asociaciones profesionales.
Seguridad de la informacin en la gestin de proyectos: Se debera contemplar la
seguridad de la informacin en la gestin de proyectos e independientemente del
tipo de proyecto a desarrollar por la organizacin.
Mtricas asociadas
Porcentaje de funciones/unidades organizativas para las cuales se ha implantado
una estrategia global para mantener los riesgos de seguridad de la informacin por
debajo de umbrales explcitamente aceptados por la direccin.
Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y
responsabilidades de seguridad de la informacin.
Objetivo #2
13

El objetivo es el de garantizar la seguridad de la informacin en el uso de recursos

de informtica mvil y teletrabajo.
Dispositivos para movilidad y teletrabajo
La proteccin exigible debera estar en relacin a los riesgos especficos que
ocasionan estas formas especficas de trabajo. En el uso de la informtica mvil
deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar
la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera
aplicar las medidas de proteccin al lugar remoto y garantizar que las
disposiciones adecuadas estn disponibles para esta modalidad de trabajo.
Se debera establecer una estructura de gestin con objeto de iniciar y controlar la
implantacin de la seguridad de la informacin dentro de la Organizacin.
Debera disponer de polticas claramente definidas para la proteccin, no slo de
los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en
mayor medida, de la informacin almacenada en ellos.
Por lo general, el valor de la informacin supera con mucho el del hardware.
Asegurarse de que el nivel de proteccin de los equipos informticos utilizados
dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel
de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc.
Actividades de control del riesgo
Poltica de uso de dispositivos para movilidad: Se debera establecer una poltica
formal y se deberan adoptar las medidas de seguridad adecuadas para la
proteccin contra los riesgos derivados del uso de los recursos de informtica
mvil y las telecomunicaciones.
Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de
seguridad de apoyo para proteger a la informacin accedida, procesada o
almacenada en ubicaciones destinadas al teletrabajo.
Mtricas asociadas
14

"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe

sobre el estado actual de la seguridad de equipos informticos porttiles (laptops,
PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza
de

trabajo

mvil),

con

comentarios

sobre

incidentes

recientes/actuales,

vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier

riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls
personales, etc.

2.5 Gestin de Activos

El objetivo es que la organizacin tenga conocimiento preciso sobre los activos
que posee como parte importante de la administracin de riesgos.
Algunos ejemplos de activos son:

Recursos de informacin: bases de datos y archivos, documentacin de

sistemas, manuales de usuario, material de capacitacin, procedimientos
operativos o de soporte, planes de continuidad y contingencia, informacin
archivada, etc.

Recursos de software: software de aplicaciones, sistemas operativos,

herramientas de desarrollo y publicacin de contenidos, utilitarios, etc.

Activos

fsicos:

equipamiento

informtico

(procesadores,

monitores,

computadoras porttiles, mdems), equipos de comunicaciones (routers,

PABXs, mquinas de fax, contestadores automticos, switches de datos,
etc.),

medios

magnticos

(cintas,

discos,

dispositivos

mviles

de

almacenamiento de datos pen drives, discos externos, etc.-), otros

equipos tcnicos (relacionados con el suministro elctrico, unidades de aire
acondicionado, controles automatizados de acceso, etc.), mobiliario,
lugares de emplazamiento, etc.

Servicios: servicios informticos y de comunicaciones, utilitarios generales

(calefaccin, iluminacin, energa elctrica, etc.).

15

Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y

criticidad de la informacin que contienen o bien de acuerdo a la funcionalidad que
cumplen y rotulados en funcin a ello, con el objeto de sealar cmo ha de ser
tratada y protegida dicha informacin.
Las pautas de clasificacin deben prever y contemplar el hecho de que la
clasificacin de un tem de informacin determinado no necesariamente debe
mantenerse invariable por siempre, y que sta puede cambiar de acuerdo con una
poltica predeterminada por la propia organizacin. Se debera considerar la
cantidad de categoras a definir para la clasificacin dado que los esquemas
demasiado complejos pueden tornarse engorrosos y antieconmicos o resultar
poco prcticos.
Responsabilidad sobre los activos
Todos los activos deberan ser justificados y tener asignado un propietario y se
deberan identificar a los propietarios para todos los activos y asignarles la
responsabilidad del mantenimiento de los controles adecuados.
La implantacin de controles especficos podra ser delegada por el propietario
convenientemente. No obstante, el propietario permanece como responsable de la
adecuada proteccin de los activos.
El trmino propietario identifica a un individuo o entidad responsable, que cuenta
con la aprobacin del rgano de direccin, para el control de la produccin,
desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario
no significa que la persona disponga de los derechos de propiedad reales del
activo.
Elabore y mantenga un inventario de activos de informacin (similar al preparado
en su da para el Efecto 2000), mostrando los propietarios de los activos
(directivos o gestores responsables de proteger sus activos) y los detalles
relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo /
pruebas / produccin, etc.).
Use cdigos de barras para facilitar las tareas de realizacin de inventario y para
vincular equipos de TI que entran y salen de las instalaciones con empleados.
16

Actividades de control de riesgo

Inventario de activos: Todos los activos deberan estar claramente identificados,
confeccionando y manteniendo un inventario con los ms importantes.
Propiedad de los activos: Toda la informacin y activos del inventario asociados a
los recursos para el tratamiento de la informacin deberan pertenecer a una parte
designada de la Organizacin.
Uso aceptable de los activos: Se deberan identificar, documentar e implantar
regulaciones para el uso adecuado de la informacin y los activos asociados a
recursos de tratamiento de la informacin.
Devolucin de activos: Todos los empleados y usuarios de terceras partes
deberan devolver todos los activos de la organizacin que estn en su
posesin/responsabilidad una vez finalizado el acuerdo, contrato de prestacin de
servicios o actividades relacionadas con su contrato de empleo.
Mtricas asociadas
Porcentaje de activos de informacin en cada fase del proceso de clasificacin
(identificado / inventariado / propietario asignado / riesgo evaluado / clasificado /
asegurado).
Porcentaje de activos de informacin claves para los cuales se ha implantado una
estrategia global para mitigar riesgos de seguridad de la informacin segn sea
necesario y para mantener dichos riesgos en niveles aceptables.
Clasificacin de la informacin
El objetivo es el de asegurar que se aplica un nivel de proteccin adecuado a la
informacin.
Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel
de proteccin previsto para su tratamiento.
La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems
podran requerir niveles de proteccin adicionales o de un tratamiento especial.
Debera utilizarse un esquema de clasificacin de la informacin para definir el
17

conjunto adecuado de niveles de proteccin y comunicar la necesidad de medidas

especiales para el tratamiento.
Mantenga la sencillez. Distinga los requisitos de seguridad bsicos (globales) de
los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad,
pero no olvide los requisitos de integridad y disponibilidad.
Actividades de control del riesgo
Directrices de clasificacin: La informacin debera clasificarse en relacin a su
valor, requisitos legales, sensibilidad y criticidad para la Organizacin.
Etiquetado y manipulado de la informacin: Se debera desarrollar e implantar un
conjunto apropiado de procedimientos para el etiquetado y tratamiento de la
informacin, de acuerdo con el esquema de clasificacin adoptado por la
organizacin.
Manipulacin de activos: Se deberan desarrollar e implantar procedimientos para
la manipulacin de los activos acordes con el esquema de clasificacin de la
informacin adoptado por la organizacin.
Mtricas asociadas
Porcentaje de activos de informacin en cada categora de clasificacin (incluida la
de "an sin clasificar").
Manejo de los soportes de almacenamiento
El objetivo es evitar la divulgacin, modificacin, retirada o destruccin de activos
no autorizada almacenada en soportes de almacenamiento.
Los medios deberan ser controlados y fsicamente protegidos.
Se deberan establecer los procedimientos operativos adecuados para proteger
los documentos, medios informticos (discos, cintas, etc.), datos de entrada o
salida y documentacin del sistema contra la divulgacin, modificacin, retirada o
destruccin de activos no autorizadas.

18

Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a

travs de las redes). Cifre todos los datos sensibles o valiosos antes de ser
transportados.
Actividades de control del riesgo
Gestin de soportes extrables: Se deberan establecer procedimientos para la
gestin de los medios informticos removibles acordes con el esquema de
clasificacin adoptado por la organizacin.
Eliminacin de soportes: Se deberan eliminar los medios de forma segura y sin
riesgo cuando ya no sean requeridos, utilizando procedimientos formales.
Soportes fsicos en trnsito: Se deberan proteger los medios que contienen
informacin contra acceso no autorizado, mal uso o corrupcin durante el
transporte fuera de los lmites fsicos de la organizacin.
Mtricas asociadas
Porcentaje de soportes de backup o archivo que estn totalmente encriptados.

Conclusin
Puedo concluir que la norma ISO/IEC 27002, es un documento que nos orienta en
el tema de seguridad, como es que se pude llevar a cabo dentro de una empresa y
que pasos son los que debemos de seguir para captar vulnerabilidades dentro del
sistema en donde nos encontremos trabajando.
Nos da informacin sobre las polticas y el tipo de organizacin que debe intervenir
dentro de una empresa para que el personal este consciente de las medidas que
se deben llevar a cabo, para no sufrir algn tipo de ataque.

19

Bibliografa
http://iso27000.es/iso27002.html

20