Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Política de cookies
Gestión de Cookies
Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  ISO/IEC 27002:2013 Information Security Policies -Las Nuevas Políticas de Seguridad de la información

ISO/IEC 27002:2013 Information Security Policies -Las Nuevas Políticas de Seguridad de la información

22/12/2014

La estructura en sí es muy similar a la anterior versión, si bien conceptualmente el espectro se ha ampliado. Consta de dos objetivos de control, respecto a la definición de la política y su posterior revisión.

En muchos casos se daba la situación de que en la política de seguridad de la información la dirección exponía las directrices y compromisos fundamentales de la organización de forma general, que debía ser comunicada a todo el personal afectado y difundida para su conocimiento por toda la organización.

Como principal diferencia de esta categoría que puede resaltarse respecto de la ISO 27002 de 2007 es el tratamiento de política, que en la versión anterior parecía querer centrarse en una política única que contemplara todos los aspectos y que en esta versión su enfoque y visión parecen querer abarcar  algunos aspectos adicionales que pueden ser de especial importancia o relevancia para la organización en materia de seguridad de la información.

En esta versión de 2013, como no podía ser de otra forma, se debe redactar una política de seguridad de la información, que permita conseguir los objetivos de seguridad de la organización, y como prueba del liderazgo de la dirección, debe estar aprobada por ella.

En cuanto al contenido, debe establecer los términos y requisitos relativos a la estrategia de negocio, al cumplimiento normativo, regulatorio y contractual, así como las presentes amenazas y las previstas para el futuro, con el fin de aplicar sistemas de tratamiento y reducción del impacto en caso de materialización de las mismas.

Además, debe hacer referencia a la definición de seguridad de la información, así como establecer y definir los objetivos que permitan incluir en los procesos de la organización la gestión de la seguridad de la información. El establecimiento de roles y responsabilidades, así como procedimientos de gestión de imprevistos, desviaciones o malfuncionamientos deben estar previstos.

Pese a la extensión, se puede afirmar que la política de seguridad no cambia en exceso salvo algunos matices entre la norma ISO 27001:2007 e ISO 27001:2013, si bien a continuación es donde puede entenderse la diferencia y la mejora respecto de la versión anterior.

La norma ISO 27001:2013 hace hincapié en que como despliegue de esta política de seguridad, es relevante definir otras políticas de menor nivel que informen de una manera más detallada a los interesados en la gestión de procesos específicos, con la finalidad de guiar a los usuarios y afectados por las políticas de seguridad de la información con el objeto de facilitar su cumplimiento.

En ocasiones, los responsables de áreas, departamentos, personal de la organización o incluso los "stakeholders" o partes interesadas (como pueden ser accionistas u otros participantes de relevancia) no acababan de comprender algunos mensajes incluidos en las políticas de alto nivel, bien por su complejidad, bien por su desconocimiento en la materia.

Con esta aclaración, la norma ISO 27001:2013 desea tener hojas de ruta establecidas para aspectos relevantes en cuanto a seguridad de la información se refiere y que no dejen lugar a dudas o equívocos. Algunas políticas de menor nivel a definir y que ayudan notablemente a la consecución de objetivos son:
  • Políticas de control de acceso
  • Políticas de asignación de privilegios y roles
  • Políticas de segmentación / segregación de la información así como de los responsables de los mecanismos de asignación de permisos y privilegios.
  • Políticas de manejo y clasificación de la información.
  • Políticas de copias de seguridad, respaldo y redundancia de datos.
  • Políticas de alta disponibilidad y recuperación
  • Políticas de seguridad con los proveedores y distribuidores.
  • Políticas de gestión de controles criptográficos
  • Políticas de gestión de la seguridad de la información en el puesto de trabajo.
Existen muchas más políticas que pueden establecerse, pero a modo de ejemplo son suficientes para alertar a los intervinientes y participantes de los SGSI de la importancia de una correcta definición por parte de la alta dirección de las directrices en materia de seguridad de la información.

Estas directrices se recomienda encarecidamente sean difundidas a todo el personal de las organizaciones, para la creación de una verdadera cultura de seguridad de la información en la empresa y que con toda seguridad, redundará en una mayor eficacia y eficiencia en los procesos de la organización, con un cumplimiento de objetivos de seguridad y una reducción en la desviación o incumplimiento de los indicadores (PKI's) y objetivos de control del SGSI.

Como conclusión, la norma ISO 27001:2013 advierte de la posibilidad de que las políticas puedan contener información confidencial o clasificada de la organización, error que puede encontrarse en algunos SGSI implementados, en el que el acceso a dicha información por parte de usuarios avanzados pueden suponer una seria amenaza para nuestro sistema de información, por lo que remarcamos la importancia de confeccionar políticas y directrices, no procedimientos operativos o instrucciones de trabajo para este cometido.
 
Fuente: ticiside.blogspot.com.es

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado. .

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.

Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.
Suscríbete a nuestra Newsletter
Solicita información adicional

Reconocimientos y participación

INCIBECursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education