Evolución de la norma ISO/IEC 27002: diferencias entre 2005 y 2013

 La norma ISO/IEC 27002 proporciona una guía de buenas prácticas en materia de seguridad de la información. Su objetivo es ayudar a las organizaciones a establecer controles adecuados para proteger sus datos. Esta norma ha sido actualizada varias veces. En esta actividad analizamos las diferencias entre las versiones 2005 y 2013.

 Número de controles:

  • Versión 2005:
    Contenía 133 controles agrupados en 39 objetivos de control.

  • Versión 2013:
    Se reorganizó el contenido, reduciendo la cantidad a 114 controles, distribuidos en 14 dominios y 35 objetivos de control.

 Principales diferencias:

  1. Reorganización de contenidos:
    En la versión de 2013 se reestructuraron los controles para mejorar la claridad y evitar redundancias.

  2. Incorporación de nuevos temas:
    Se añadieron controles enfocados en temas actuales como:

    • Uso de dispositivos móviles

    • Acceso remoto

    • Computación en la nube

  3. Mayor enfoque en la gestión del riesgo:
    La versión 2013 se adapta mejor a un enfoque basado en riesgos, promoviendo la personalización de los controles según las necesidades de cada organización.


El paso de la versión 2005 a la 2013 representa un avance en la adaptación a nuevas tecnologías y amenazas modernas. La norma se vuelve más práctica y flexible, manteniendo su objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información.

Comentarios

Publicar un comentario

Entradas populares de este blog

Aplicación del dominio de desarrollo y mantenimiento de sistemas

He elegido el dominio de  adquisición, desarrollo y mantenimiento de sistemas  porque está directamente relacionado con el software que se utiliza en cualquier organización o incluso en contextos personales. Este dominio incluye controles que garantizan que los sistemas que se desarrollan o compran  sean seguros desde su diseño , evitando vulnerabilidades o puertas traseras.  Ejemplos de medidas: Revisión de código : Validar que no haya errores o fragmentos peligrosos que puedan ser aprovechados por atacantes. Pruebas de seguridad : Realizar simulaciones o auditorías antes de poner un sistema en funcionamiento. Gestión de cambios : Tener un control documentado de cada modificación del sistema, quién la hace y por qué. Seguridad en entornos de prueba : Asegurar que los datos reales no se usen en pruebas de desarrollo. Aplicación práctica: Estas medidas son muy útiles incluso en proyectos personales, como páginas web, aplicaciones o software académico. Asegurarse de qu...
Leer más

Inventario de activos del hogar

Tras definir que el alcance de mi política de seguridad es  toda la vivienda , he realizado un inventario de los principales  activos relacionados con la información  que utilizo en mi día a día. Estos activos pueden ser tanto  digitales como físicos  y son esenciales para mis tareas académicas, personales y de gestión cotidiana. Descripción de los activos Ordenador portátil : Es el dispositivo que uso para estudiar, realizar trabajos, acceder a plataformas universitarias, conectarme a clases virtuales y gestionar mis documentos personales. En él se almacenan datos sensibles como trabajos académicos, contraseñas y documentos PDF escaneados. Teléfono móvil : Además de ser un medio de comunicación, en mi móvil tengo acceso a redes sociales, banca online, correo electrónico y aplicaciones con datos privados. Es un dispositivo que manejo diariamente y que contiene información personal muy valiosa. Router Wi-Fi : Este dispositivo permite la conexión a Internet en tod...
Leer más

Análisis de riesgos cubiertos según la ISO/IEC 27002:2013

 Para esta actividad he imaginado un análisis básico sobre cómo los distintos  dominios de seguridad de la norma ISO/IEC 27002:2013  cubren amenazas y riesgos en una organización. En lugar de hacer una hoja de cálculo, describo a continuación cómo sería la evaluación para cinco dominios seleccionados, asignando valores simulados a los factores requeridos:  ponderación, nivel de amenaza, probabilidad de éxito del control y riesgo cubierto .  Ejemplo de dominios analizados: Gestión de activos Ponderación: alta, por ser clave en la protección de datos. Amenaza estimada: 7/10. Probabilidad de control efectivo: 0.70. Riesgo cubierto (estimación): 4.90. Control de accesos Ponderación: muy alta. Amenaza: 9/10. Probabilidad de éxito: 0.80. Riesgo cubierto: 7.20. Seguridad física Amenaza: 5/10. Probabilidad de protección: 0.60. Riesgo cubierto: 3.00. Seguridad de recursos humanos Amenaza: 6/10. Probabilidad: 0.75. Riesgo cubierto: 4.50. Criptografía Amenaza: 4/10. Probab...
Leer más