Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la International Organization for Standardization y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.

Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.

TUTORIAL ISO

La norma ISO 27002 se encuentra estructurada en capítulos que describen las áreas que se deben considerar para garantizar la seguridad de la información de las que se dispone. El documento recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.

1 Políticas de Seguridad de la Información

Dentro de este capítulo se hace hincapié en la importancia que ocupa la disposición de una adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal, revisada de forma periódica y actualizada con los cambios que se producen en el interior y en el exterior.

2 Organización de la Seguridad de la Información

Los controles indicados en este capítulo buscan estructurar un marco de seguridad eficiente tanto mediante los roles, tareas, seguridad, etc. como en los dispositivos móviles.

Tenemos que tener presente que cada vez es mayor el peso que está ocupando el teletrabajo dentro de las empresas, y por ello, se deben tener en cuenta todas sus características especiales para que ningún momento la seguridad de la información de la que se dispone se vea afectada.

3 Seguridad relativa a los recursos humanos

Si analizamos los incidentes de seguridad que se producen en una organización nos daremos cuenta de que la gran mayoría de estos tienen su origen en un error humano. Se debe concienciar y formar al personal de los términos de empleo de la información en el desarrollo de sus actividades y la importancia que tiene la información en el desarrollo de sus actividades, además de la importancia que tiene promover, mantener y mejorar el nivel de seguridad adecuándolo a las características de los datos y la información que maneja es clave y uno de los objetivos que se debe perseguir.

4 Gestión de activos

Se centra en la atención en la información como activo y en cómo se deben establecer las medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en la alteración no deseada.

5 Control de acceso

Controlar quien accede a la información dentro de un aspecto relevante. Al fin y al cabo no todas las personas de una organización necesitan acceder para realizar su actividad diarias a todos los datos, sino que tendremos roles que necesitan un mayor acceso y otros con un acceso mucho más limitado. Para poder marcar las diferencias, se deben establecer todos los controles como registro de los usuarios, gestión de los privilegios de acceso, etc. siendo algunos de los controles que se incluyen en este apartado.

6 Criptografía

En el caso de que estemos tratando la información sensible o crítica puede ser interesante utilizar diferentes técnicas criptográficas para proteger y garantizar su autenticidad, confidencialidad e integridad.

7 Seguridad física y del entornoLa seguridad no es solo a nivel tecnológico sino también físico, es decir, una simple labor de no dejar las pantallas e impresoras en zonas que sean fácilmente accesibles, por parte del personal externo los documentos con los que se están trabajando no sólo nos permitirán gestionar de forma adecuada la seguridad sino que se acabarán convirtiendo en hábitos que nos aportan eficiencia en la gestión

ISO

A semejanza de otras normas ISO, ISO/IEC 27002 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Paises donde encontramos los estandares

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares equivalentes de diversos países

Países	Estándar equivalente
	AS/NZS ISO/IEC 27002:2006
	ISO/IEC NBR 17799/2007 - 27002
	ČSN ISO/IEC 27002:2006
	DS484:2005
	EVS-ISO/IEC 17799:2003, 2005 versión en traducción
	JIS Q 27002
	LST ISO/IEC 17799:2005
	NEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción
	PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
	NTP-ISO/IEC 17799:2007
	NB-ISO/IEC 17799:2005
	SANS 17799:2005
	UNE 71501

ISO -27002