Diferencias entre ISO 2005/2013 [6.1]

La norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001. La revisión se llevado a cabo tomando la experiencia práctica de la utilización de la norma durante estos años. 
Quizás, la mayor diferencia entre el modelo antiguo y el nuevo es la estructura. La ISO IEC 27002 2005 tenía 11 secciones principales mientras que la ISO IEC 27002 2013 ahora tiene 14. Estas nuevas secciones añadidas hablan sobre criptografía, seguridad de la comunicación y relaciones entre proveedores. Aún así, el nuevo modelo es mucho más corto ya que es más concreto. 
Además, la ISO IEC 27002 2013 ha añadido nuevas secciones: 


  • Seguridad de la información en la gestión de proyectos
  • Manipulación de activos
  • Restricciones en la instalación de software
  • Política de desarrollo seguro de software
  • Uso de principios de ingeniería en protección de sistemas
  • Seguridad en entornos de desarrollo
  • Pruebas de funcionalidad durante el desarrollo de los sistemas
  •  Seguridad de la información en las relaciones con suministradores
  • Valoración de eventos de seguridad de la información y toma de decisiones
  • Aspectos de seguridad de la información en la gestión de la continuidad del negocio
También, la mayoría de las secciones han sido reescritas, y otras han sido divididas o trasladadas a otras secciones.

  • La gestión de activos pasó del punto 7 al 8, mientras que la seguridad ligada a los recursos humanos pasó del 8 al 7. 
  • La seguridad física y ambiental pasó del punto 9 al 11, mientras que el control de accesos paso del 11 al 9.
  • La seguridad en la operativa, que se llamaba control de comunicaciones y operaciones pasó del punto 10 al 12.
  • La Evaluación de riesgos y tratamiento pasó a la ISO 27001:2013 
  • La adquisición, desarrollo y mantenimiento de los sistemas de información pasó del punto 12 al 14.
  • La gestión de incidentes en la seguridad de la información pasó del punto 13 al 16.
  • Los aspectos de seguridad de la información en la gestión de la continuidad del negocio pasó del punto 14 al 17.
  • Por último, el cumplimiento pasó del punto 15 al 18.
Hubo algunos cambios en la terminología. Privilegios se convirtió en derechos de acceso privilegiado, contraseña fue reemplazado por información de autenticación secreta, código malicioso es ahora malware, etc.

Comentarios

Publicar un comentario

Entradas populares de este blog

plantilla INCIBE [7.3]

En esta actividad se introduce una plantilla en excel facilitada por INCIBE, para  analizar los posibles riesgos ante los que nos podemos encontrar en nuestra organización . Cuenta con 6 hojas, que tratan los siguientes puntos: Hoja « Ejemplo de análisis »: contiene un ejemplo de análisis de riesgos que podrás utilizar  como  referencia para realizar la actividad. Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probababilidad e impacto de tres niveles. Hoja « Tablas AR »: incluye unas tablas orientativas para realizar las valoraciones de la  probabilidad y el impacto según una escala de tres valores. Se recogen tablas orientativas para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel de detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala. Asimismo, se incluye una tabla para la definición del riesgo a...
Leer más

Análisis de una imágen con Bulk extractor [12.1]

Imagen
La herramienta Bulk Extractornos permitirá analizar grandes volúmenes de información de imágenes de discos, directorios o ficheros y extraer información sin analizar el sistema de archivos y su estructura.  Bulk Extrator es una herramienta rápida y muy potente al no trabajar con el sistema de ficheros, lo que permitirá analizar discos duros, SSD, medios ópticos, tarjetas de cámara, teléfonos celulares, volcados de paquetes de red y otros tipos de información digital. Bulk extractor crea un directorio de salida con una información específica.  El primer paso es instalar el programa bulk_extractor-windowsinstaller.exe Una vez instalado, desde el botón de windows  pulsamos sobre la carpeta y seleccionamos BEviewer with bulk extrator 1.5.5. Cuando lo hayamos abierto, pulsamos "tools" y "run bulk_extractor". Se abrirá lo siguiente: Seleccionamos Scan: Image File y abajo seleccionamos lo que queremos escanear y donde queremos que se guarde.  Tras ...
Leer más

Matriz de riesgo [7.4]

Imagen
El valor mínimo de la tabla es el 1, representado con el color verde. El mayor es el 9, representado con el color rojo. Los valores intermedios, es decir, el 3, 4 y 6 están representados con tonos entre amarillo y naranja. 
Leer más