Normas ISO 27002 v2022, su aplicación y ventajas

 

República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Universitaria.

Universidad Nacional Experimental de la Gran Caracas

Vicerrectorado Académico: La Floresta Programa Nacional de Formación Informática. Unidad curricular: Electiva III

 

 

 

 

 

Normas ISO 27002 v2022, su aplicación y ventajas

 

 

 

 

 

 

 

Docente:                                                                                            Estudiantes:

Ing. Miguel Alvarez.                                                Yineska Jaramillo     C.I: 27.474.427

    Elvis Rodríguez         C.I: 27.031.114

    Génesis Dos Santos C.I: 20.913.939

               Enrique Escobar               C.I: 24.391.343

 

Caracas, Febrero de 2024

 

INTRODUCCIÓN

 

ISO 27000 establece los requisitos para un sistema de gestión de la seguridad de la información, basado en un enfoque de gestión de riesgos para proteger la información confidencial, integral y disponible. También puede ser implementada por cualquier tipo de organización. Sus beneficios incluyen la protección de la información confidencial, reducción del riesgo de ciberataques y fugas de datos, mayor confianza de clientes y socios comerciales, mejora de la imagen y reputación de la organización, y cumplimiento de requisitos legales.

ISO 27001: Es una norma dentro de la serie ISO 27000 que establece los requisitos para la implementación de un SGSI. Es la norma certificable, lo que significa que una organización puede demostrar su conformidad con la norma mediante una auditoría externa. El proceso de implementar un SGSI implica establecer el contexto de la organización y los riesgos relacionados con la seguridad de la información como también Desarrollar e implementar políticas y procedimientos para gestionar los riesgos.

ISO 27002: Es una norma dentro de la serie ISO 27000 que proporciona un catálogo de buenas prácticas para la gestión de la seguridad de la información. No es una norma certificable, pero sirve como guía para la implementación de un SGSI.

 

 

 

 

 

 

 

 

La norma ISO/IEC 27002:2022 es un estándar internacional que establece las mejores prácticas para la gestión de la seguridad de la información. Esta norma proporciona un conjunto de controles de seguridad que pueden ser aplicados a cualquier tipo de organización, con el fin de proteger la información y los activos de la organización. La norma incluye 93 controles de seguridad que cubren áreas como la gestión de accesos, la gestión de incidentes, la gestión de la continuidad del negocio, y la gestión de la seguridad física, entre otros.

La norma ISO/IEC 27002:2022 se aplica mediante la implementación de los controles de seguridad que se especifican en la norma. Estos controles pueden ser adaptados a las necesidades específicas de cada organización, y deben ser implementados de manera coherente y sistemática para garantizar la seguridad de la información. La implementación de la norma puede ser llevada a cabo por cualquier tipo de organización, independientemente de su tamaño o sector de actividad.

La aplicación de la norma ISO/IEC 27002:2022 puede proporcionar varias ventajas a las organizaciones, como la mejora de la seguridad de la información, la reducción de los riesgos de seguridad, el cumplimiento de las regulaciones y normativas, y la mejora de la confianza de los clientes y socios comerciales. Además, la aplicación de la norma puede ayudar a las organizaciones a establecer un marco de seguridad de la información sólido y coherente, lo que puede mejorar la eficiencia y la eficacia de los procesos de gestión de la seguridad de la información.

La actualización de la norma ISO/IEC 27002:2022 presenta varios cambios significativos en comparación con la versión anterior de 2013. Algunos de los principales cambios incluyen:

Estructura renovada: La norma ha sido reestructurada para proporcionar una guía de implementación más clara y detallada, dividiendo los controles de seguridad en cinco categorías: organizacionales, de personas, físicos, tecnológicos y un anexo que detalla los controles de seguridad.

Nuevos controles de seguridad: La actualización introduce nuevos controles de seguridad, lo que significa que las organizaciones deben revisar y posiblemente actualizar sus procesos de tratamiento de riesgos y su declaración de aplicabilidad para cumplir con los nuevos controles.

Anexo A actualizado: El Anexo A, que detalla los controles de seguridad, ha sido actualizado para reflejar los cambios en la tecnología y las amenazas emergentes, lo que requiere que las organizaciones certificadas en ISO 27001:2013 actualicen sus sistemas de gestión de seguridad de la información para cumplir con la nueva versión.

Correspondencia con la versión anterior: Se ha proporcionado una correspondencia detallada entre la ISO/IEC 27002:2022 y la versión de 2013 para facilitar la transición y la comprensión de los cambios.

En resumen, la actualización de la norma ISO/IEC 27002:2022 ha reestructurado la guía de controles de seguridad, introducido nuevos controles y actualizado el Anexo A para reflejar los avances en la tecnología y las amenazas. Estos cambios requieren que las organizaciones revisen y posiblemente actualicen sus procesos y sistemas de gestión de seguridad de la información para cumplir con la nueva versión.

La norma ISO 27002:2022 introduce cambios significativos en los controles de seguridad de la información, lo que impacta directamente en la seguridad de la información de las organizaciones. Algunos de los cambios incluyen un enfoque preventivo/detectivo, la inclusión de 83 controles, la reducción de controles de 114 a 93, y la incorporación de 11 nuevos controles enfocados en ciberseguridad y resiliencia organizacional. Estos cambios buscan adaptar la norma a los nuevos desarrollos en la industria de la seguridad cibernética y de la información, priorizando el enfoque y protección de los activos de información.

En resumen, los cambios en la norma ISO 27002:2022 están directamente relacionados con la mejora de la seguridad de la información y la adaptación a las nuevas amenazas y tecnologías en el ámbito de la ciberseguridad.

La norma ISO/IEC 27002 es un estándar internacional que proporciona directrices y mejores prácticas para la gestión de la seguridad de la información en las organizaciones. Para aplicar la norma 27002, es importante seguir los siguientes pasos:

Realizar un análisis de riesgos: Identificar y evaluar los riesgos para la seguridad de la información en la organización.

Establecer un marco de gestión de la seguridad de la información: Definir políticas, procedimientos y controles para proteger la información de la organización.

Implementar controles de seguridad: Aplicar medidas técnicas y organizativas para mitigar los riesgos identificados.

Realizar auditorías y revisiones periódicas: Evaluar el desempeño de los controles de seguridad y realizar ajustes según sea necesario.

Mantenerse actualizado: La norma 27002 se actualiza regularmente, por lo que es importante estar al tanto de las últimas versiones y cambios.

 

Ventajas de aplicar las normas 27002 v2022.

La norma ISO/IEC 27002 proporciona un marco de buenas prácticas para la gestión de la seguridad de la información en las organizaciones. Algunas de las ventajas de aplicar esta norma incluyen:

Mejora de la seguridad de la información: al seguir las recomendaciones de la norma, las organizaciones pueden fortalecer sus controles de seguridad y reducir los riesgos de sufrir incidentes de seguridad.

Cumplimiento normativo: la aplicación de la norma 27002 ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios en materia de seguridad de la información.

Mejora de la confianza de los clientes y socios comerciales: al demostrar que se siguen las mejores prácticas en seguridad de la información, las organizaciones pueden generar confianza entre sus clientes y socios comerciales.

Reducción de costos: al implementar controles de seguridad eficaces, las organizaciones pueden reducir los costos asociados con la gestión de incidentes de seguridad y la recuperación de datos.

Mejora de la gestión de riesgos: la norma 27002 proporciona un marco para identificar, evaluar y gestionar los riesgos de seguridad de la información de manera efectiva.

 

Conclusión

 

En este presente trabajo hemos entendido la importancia que cumple las normas ISO/IEC 27002, en  función de aplicar las buenas prácticas para la gestión de la seguridad de la información en las organizaciones. Ya que mejora la seguridad de la información con normas y procedimientos con la finalidad que una organización fomente las medidas de seguridad en función de fortalecer sus sistemas, reduciendo riesgos de incidentes y de problemas telemáticos. A su vez permite cumplir las normas legales a nivel internacional.

 

Estas normas son las que todos los organismos y entes del estado debería cumplir para tener un sistema robustecido de seguridad informática, al no ser cumplidas ocasionaría problemas y grandes pérdidas en la infraestructura crítica primordiales de los organismos del estado.

Comentarios

Publicar un comentario

Entradas populares de este blog

La ley de ciberespacio y su enfoque en Venezuela.

Desde 2007, se ha desarrollado políticas públicas orientadas a controlar la libertad de expresión y el acceso a la información en internet, entre ellas se destacan la ley responsabilidad social en radio televisión y medios electrónicos (2010), a finales del 2018 se conoce el anteproyecto de la  Ley del Ciberespacio donde justifica y expande aún más los poderes del gobierno para controlar y vigilar el uso de internet sin contrapesos institucionales, lo cual representa una grave amenaza a los derechos humanos de los venezolanos y venezolanas. El anteproyecto crea un sistema nacional de ciberdefensa, bajo la doctrina de "defensa integral de la Nación" con autoridad sobre un vagamente definido "Ciberespacio de la República Bolivariana de Venezuela", provocando que los venezolanos queden limitados a una red controlada, aislada y fragmentada. En síntesis, este proyecto tiene un enfoque de seguridad para el uso de tecnologías de información y comunicación, bas...
Leer más