Actividad 1: Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013
La principal diferencia es la estructura.
El ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores.
Aunque el del 2013 tenga tres secciones más, es más corto y más centrado que el del 2005. El antiguo tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78.
El ISO/IEC 27002 2013 también tiene varias subsecciones nuevas.
Además, casi todas las secciones se han vuelto a escribir y algunas secciones se han dividido o trasladado a otras secciones.
También ha habido algunos cambios en la terminología. "Privilegios" ha pasado a ser "derechos de acceso privilegiado", la palabra "contraseñas" ha sido en gran parte reemplazado por "información de autenticación", el verbo "chequear" ha sido reemplazado por verificar, "código malicioso" ahora es "malware", los "registros de auditoría" ahora son "registros de eventos", las "transacciones" en línea ahora se conocen como "transacciones de servicios de aplicaciones", entre otros muchos.
Actividad 2: Dominios de seguridad (riesgos)
Actividad 3: Dominios
Actividad 4: RRHH
Actividad 5: Estudiar un dominio
He escogido estudiar el dominio Cifrado. Este control consta de dos medidas para controlar el riesgo, las cuales son:
- Política de uso de los controles criptográficos: "Se debe desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información." La finalidad de este punto es generar una política para una mayor protección de la información a través de la criptografía que se basa en crear un lenguaje inteligible a usuarios no autorizados. Para conseguir el objetivo, se ha de estudiar la empresa para que la nueva política se amolde a las condiciones, básicamente se deberá crear una política que proteja los contenidos importantes y que autorice el acceso a las personas responsables de la empresa.
- Gestión de claves: "Se debe desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida." Además de la política creada anteriormente, se ha de estudiar también estos términos: uso, protección y ciclo de vida; es decir, quién tendrá acceso y cuánto durará esta política.
Actividad 3: Dominios
Actividad 5: Estudiar un dominio
He escogido estudiar el dominio Cifrado. Este control consta de dos medidas para controlar el riesgo, las cuales son:
- Política de uso de los controles criptográficos: "Se debe desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información." La finalidad de este punto es generar una política para una mayor protección de la información a través de la criptografía que se basa en crear un lenguaje inteligible a usuarios no autorizados. Para conseguir el objetivo, se ha de estudiar la empresa para que la nueva política se amolde a las condiciones, básicamente se deberá crear una política que proteja los contenidos importantes y que autorice el acceso a las personas responsables de la empresa.
- Gestión de claves: "Se debe desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida." Además de la política creada anteriormente, se ha de estudiar también estos términos: uso, protección y ciclo de vida; es decir, quién tendrá acceso y cuánto durará esta política.
No hay comentarios:
Publicar un comentario