¿Qué nos convoca en concreto?: proteger los activos de información corporativos, o a todo aquel elemento que contiene o trata información relevante para la corporación, y que tanto su pérdida como su degradación pudieran afectar de algún modo la continuidad de los servicios ofrecidos. Se trata de un valor que requiere protección, y que de no tenerla, puede suponer la pérdida de su disponibilidad, confidencialidad e integridad.
Es un activo de información todo aquel elemento que contiene o trata información relevante para la corporación, y que tanto su pérdida como su degradación pudieran afectar de algún modo la continuidad de los servicios ofrecidos. Se trata de un valor que requiere protección, y que de no tenerla, puede suponer la pérdida de su disponibilidad, confidencialidad e integridad.
Si la ISO 27001 define los dominios de seguridad de la información para establecer, implementar y mantener un sistema de gestión de seguridad, y sus objetivos esenciales son salvaguardar “activos” (un concepto esencial), reducir riesgos, asegurar la confidencialidad, integridad y disponibilidad de datos sensibles y proteger los espacios físicos donde se gestionan o almacenan datos sensibles (críticos), los controles del estándar de seguridad ISO 27002 en cambio permiten a las empresas, servicios públicos y bancos contar con un punto de referencia único o una base metodológica de «las buenas o las mejores prácticas» para su gestión corporativa . Estas últimas no descansan en la adopción de tales cuales productos o soluciones tecnológicas específicas al definir parámetros de controles y de seguridad de información, precisamente por su carácter no cerrado y no propietario.
Dicho de otra forma, si la ISO 27001 establece un marco para proteger la confidencialidad, integridad y disponibilidad de la información en las organizaciones, los controles de la norma ISO 27002 son medidas específicas diseñadas para gestionar riesgos y garantizar la seguridad en áreas claves como el acceso a datos, protección frente a amenazas y continuidad del negocio.
Para los activos, en una primera fase habrá que (i) identificarlos, (ii) clasificarlos, (iii) evaluar su criticidad concreta y (iv) definir medidas preventivas para su custodia, y ojalá se haga (es la sugerencia) fomentando una cultura general de seguridad en toda la organización. En una segunda, habrá que evaluar sus riesgos y establecer controles específicos; de hecho, la Norma ISO 27001 exige implementar controles de seguridad. Y en una tercera, evaluados los riesgos se exige implementarlos, también proporciona un anexo con una lista de controles recomendados que pueden adaptarse a las particularidades de cada organización.
La norma ISO/IEC 27002 es la que establece un marco de gestión de seguridad de la información que incluye una serie de controles para garantizar la confidencialidad, integridad y disponibilidad de la información.
Algunos de los controles incluidos en la norma son:
- (i) acceso controlado: restricción del acceso a los recursos de información solamente a las personas autorizadas;
- (ii) clasificación de la información: identificación y clasificación de la información crítica para determinar el nivel de protección necesario;
- (iii) seguridad física: medidas de seguridad para proteger los recursos de información físicos, como dispositivos de almacenamiento, edificios y áreas;
- (iv) control de dispositivos: medidas para proteger y controlar los dispositivos que acceden a la información;
- (v) criptografía: uso de técnicas de cifrado para proteger la información en reposo y en tránsito;
- (vi) copias de seguridad y recuperación: planificación y realización de copias de seguridad regulares para asegurar la disponibilidad de la información en caso de un desastre;
- (vii) monitoreo y auditoría: revisión periódica de los sistemas y registros de seguridad para detectar posibles vulnerabilidades y actividades sospechosas.
La versión de la norma 27002 del 2022 se compone de 93 controles dispuestos en 4 grandes grupos de controles, a saber: Organizacionales, Personal, Físicos y Tecnológicos.
