ISO 27001 2013 Mapeo de Controles

MAPEO DE CONTROLES DEL ANEXO A – ISO 27001:2013 Comparación con ISO 27001:2005

Karina Miranda, M.D.E.T.I. Junio - 2014

INTRODUCCIÓN Para aquellas organizaciones que se encuentran en el proceso de migrar y validar sus controles implementados de la versión 2005 a la nueva versión de ISO 27001:2013, aquí lo presentamos en detalle. En líneas generales les puedo comentar que hay una lista de controles que permanecen, otras que se han reubicado y finalmente aquellos controles que se han retirado. Tomen en consideración respecto al dominio A.17 “Aspectos de seguridad de información en la gestión de continuidad del negocio” del nuevo estándar, expresa mayor detalle y un enfoque más preciso. A continuación se listan los 113 controles del Anexo A de la Norma ISO 27001:2013

No dejes tu sentido común de lado, piensa primero en lo que quieres mejorar y como los estándares, mejores prácticas y marcos de referencia pueden ayudarte a hacerlo. No pienses primero en ellos... (Esther Dyson)

1

27001:2013 A.5 Orientación de la Dirección para la seguridad de la información

27001:2005 A.5 Política de seguridad

A.5.1 Directrices de Gestión para la Seguridad de la Información

Objetivo: Proporcionar orientación y apoyo de la Dirección para la seguridad de la información, en concordancia con los requisitos del negocio, las leyes y las regulaciones pertinentes. A.5.1.1 Políticas de seguridad de la información

A.5.1.1 Documento de política de seguridad de la información

A.5.1.2 Revisión de las políticas de seguridad de la

A.5.1.2 Revisión de la política de seguridad de la

información

información

A.6 Organización de seguridad de la información

A.6 Organización de seguridad de la información

A.6.1 Organización Interna

Objetivo: Establecer un marco de trabajo de la Dirección para iniciar y controlar la implementación y el funcionamiento de la seguridad de la información dentro de la organización. A.6.1.1 Responsabilidades y roles de seguridad

A.6.1.3 Asignación de responsabilidades para la

información

seguridad de información

A.6.1.2 Segregación de funciones

A.10.1.3 Segregación de tareas

A.6.1.3 Contacto con autoridades

A.6.1.6 Contacto con autoridades

A.6.1.4 Contacto con grupos de interés especial

A.6.1.7 Contacto con grupos de interés especial

A.6.1.4 Seguridad de la información en la gestión de proyectos (NUEVO) A.6.2 Dispositivos móviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles A.6.2.1 Política de dispositivo móvil A.6.2.2 Teletrabajo A.7 Seguridad del recursos humano

A.11.7.1 Ordenadores portátiles y comunicaciones móviles A.11.7.2 Teletrabajo A.8 Seguridad ligada a los recursos humanos

A.7.1 Antes del empleo

Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y estén adecuados a

2

27001:2013

27001:2005

los roles para los cuales están siendo considerados. A.7.1.1 Selección

A.8.1.2 Selección

A.7.1.2 Términos y condiciones de empleo

A.8.1.3 Términos y condiciones de empleo

A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan sus responsabilidades de seguridad de información A.7.2.1 Responsabilidades de la Dirección

A.8.2.1 Responsabilidades de la Dirección

A.7.2.2 Capacitación, educación y concientización en

A.8.2.2 Capacitación, educación y concientización en

seguridad información

seguridad información

A.7.2.3 Proceso disciplinario

A.8.2.3 Proceso disciplinario

A.7.3 Desvinculación y cambio de empleo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o desvinculación del empleo. A.7.3.1 Responsabilidades en la desvinculación o cambio de empleo A.8 Gestión de Activos

A.8.3.1 Responsabilidades en la desvinculación A.7 Gestión de Activos

A.8.1 Responsabilidad por los activos

Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección pertinentes. A.8.1.1 Inventario de activos

A.7.1.1 Inventario de activos

A.8.1.2 Propiedad de los activos

A.7.1.2 Propiedad de los activos

A.8.1.3 Uso aceptable de los activos

A.7.1.3 Uso aceptable de los activos

A.8.1.4 Devolución de activos

A.8.3.2 Devolución de activos

A.8.2 Clasificación de la Información

Objetivo: Asegurar que la información reciba un nivel de protección adecuado, según su importancia para la organización. A.8.2.1 Clasificación de la información

A.7.2.1 Directrices de clasificación

A.8.2.2 Etiquetado de la información

A.7.2.2 Etiquetado y manipulación de la información

A.8.2.3 Manejo de activos

A.10.7.3 Procedimientos de manipulación de la información

A.8.3 Manejo de medios

Objetivo: Prevenir la divulgación no autorizada,

3

27001:2013

27001:2005

modificación, eliminación o destrucción de la información almacenada en los medios A.8.3.1 Gestión de medios removibles

A.10.7.1 Gestión de medios removibles

A.8.3.2 Eliminación de medios

A.10.7.2 Eliminación de medios

A.8.3.3 Transporte de medios físicos

A.10.8.3 Medios físicos en tránsito

A.9 Control de Acceso

A.11 Control de Acceso

A.9.1 Requisitos del negocio para el control de acceso

Objetivo: Restringir el acceso a la información y a los recursos de procesamiento de información A.9.1.1 Política de control de acceso

A.11.1.1 Política de control de acceso

A.9.1.2 El acceso a las redes y a los servicios de red

A.11.4.1 Política de uso de los servicios en red

A.9.2 Gestión de acceso de usuario

Objetivo: Asegurar el acceso de usuarios autorizados a fin de prevenir el acceso no autorizado a los sistemas y servicios. A.9.2.1 Registro y retiro de usuarios

A.11.2.1 Registro de usuario

A.9.2.2 Entrega de los accesos de usuario

A.11.5.2 Identificación y autenticación de usuario

A.9.2.3 Gestión de derechos de acceso privilegiados

A.11.2.2 Gestión de privilegios

A.9.2.4 Gestión de información secreta de autenticación de usuarios

A.11.2.3 Gestión de contraseñas de usuario

A.9.2.5 Revisión de los derechos de acceso de usuario A.11.2.4 Revisión de los derechos de acceso de usuario A.9.2.6 Eliminación o ajuste de los derechos de acceso A.8.3.3 Eliminación de derechos de acceso A.9.3 Responsabilidades del usuario

Objetivo: Responsabilizar a los usuarios para que salvaguarden su información de autenticación. A.9.3.1 Uso de información secreta de autenticación

A.11.3.1 Uso de contraseña

A.9.4 Control de acceso al sistema y aplicaciones

Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones. A.9.4.1 Restricción de acceso a la información

A.11.6.1 Restricción de acceso a la información A.11.5.1 Procedimientos de inicio de sesión seguro

A.9.4.2 Procedimientos de inicio de sesión seguro

A.11.5.5 Desconexión automática de sesión A.11.5.6 Limitación del tiempo de conexión

A.9.4.3 Sistema de gestión de contraseñas

A.11.5.3 Sistema de gestión de contraseñas

4

27001:2013

27001:2005

A.9.4.4 Uso de programas utilitarios privilegiados

A.11.5.4 Uso de los utilitarios del Sistema

A.9.4.5 Control de acceso al código fuente de los

A.12.4.3 Control de acceso al código fuente de los

programas

programas

A.10 Criptografía A.10.1 Controles criptográficos

Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información. A.10.1.1 Política sobre el uso de controles criptográficos A.10.1.2 Gestión de claves A.11 Seguridad física y ambiental

A.12.3.1 Política de uso de los controles criptográficos A.12.3.2 Gestión de claves A.9 Seguridad física y ambiental

A.11.1 Áreas seguras

Objetivo: Evitar el acceso físico no autorizado, daño e interferencia a la información y recursos de procesamiento de la información de la organización. A.11.1.1 Perímetro de seguridad física

A.9.1.1 Perímetro de seguridad física

A.11.1.2 Controles de acceso físico

A.9.1.2 Controles de acceso físico

A.11.1.3 Seguridad de oficinas, salas e instalaciones

A.9.1.3 Seguridad de oficinas, salas e instalaciones

A.11.1.4 Protección contra amenazas externas y

A.9.1.4 Protección contra amenazas externas y

ambientales.

ambientales

A.11.1.5 Trabajo en áreas seguras

A.9.1.5 Trabajo en áreas seguras

A.11.1.6 Áreas de carga y descarga

A.9.1.6 Áreas de acceso público, carga y descarga

A.11.2 Equipo

Objetivo: Prevenir la pérdida, daño, robo o el compromiso de los activos, así como la interrupción de las operaciones de la organización. A.11.2.1 Ubicación y protección del equipo

A.9.2.1 Ubicación y protección del equipo

A.11.2.2 Servicios de apoyo

A.9.2.2 Servicios de apoyo

A.11.2.3 Seguridad del cableado

A.9.2.3 Seguridad del cableado

A.11.2.4 Mantenimiento de los equipos

A.9.2.4 Mantenimiento de los equipos

A.11.2.5 Retiro de activos

A.9.2.7 Retiro de materiales propiedad de la organización

A.11.2.6 Seguridad de equipos y activos fuera de los

A.9.2.5 Seguridad de los equipos fuera de los locales de

locales

la organización

A.11.2.7 Reutilización o eliminación segura de equipos A.9.2.6 Reutilización y eliminación segura de equipos A.11.2.8 Equipo de usuario desatendido

A.11.3.2 Equipo de usuario desatendido

A.11.2.9 Política de pantalla y escritorio limpio

A.11.3.3 Política de pantalla y escritorio limpio

5

27001:2013 A.12 Seguridad de las operaciones

27001:2005 A.10 Gestión de comunicaciones y operaciones

A.12.1 Procedimientos operacionales y responsabilidades

Objetivo: Asegurar la operación correcta y segura de los recursos de procesamiento de la información A.12.1.1 Procedimientos de operación documentados

A.10.1.1 Procedimientos de operación documentados

A.12.1.2 Gestión del cambio

A.10.1.2 Gestión del cambio

A.12.1.3 Gestión de la capacidad

A.10.3.1 Gestión de la capacidad

A.12.1.4 Separación de los entornos de desarrollo,

A.10.1.4 Separación de los recursos de desarrollo, prueba

pruebas y producción

y producción

A.12.2 Protección contra malware

Objetivo: Asegurar que la información y los recursos de procesamiento de información estén protegidos contra el malware. A.12.2.1 Controles contra el malware

A.10.4.1 Controles contra el código malicioso

A.12.3 Copia de respaldo

Objetivo: Proteger en contra de la pérdida de información A.12.3.1 Copia de respaldo de la información

A.10.5.1 Copia de respaldo de la información

A.12.4 Registro y monitoreo.

Objetivo: Registrar eventos y generar evidencia A.12.4.1 Registro de evento

A.10.10.1 Registro de auditoria

A.12.4.2 Protección de la información de registro

A.10.10.3 Protección de la información de registro

A.12.4.3 Registro de las actividades de los

A.10.10.4 3 Registro de las actividades de los

administradores y operadores

administradores y operadores

A.12.4.4 Sincronización de relojes

A.10.10.6 Sincronización de relojes

A.12.5 Control de software en producción

Objetivo: Asegurar la integridad de los sistemas en producción. A.12.5.1 Instalación de software en sistemas de producción

A.12.4.1 Control de software en producción

A.12.6 Gestión de vulnerabilidades técnicas

Objetivo: Prevenir la explotación de vulnerabilidades técnicas. A.12.6.1 Gestión de vulnerabilidades técnicas

A.12.6.1 Control de vulnerabilidades técnicaas

6

27001:2013

27001:2005

A.12.6.2 Restricciones en la instalación de software (NUEVO) A.12.7 Consideraciones en la auditoría de los sistemas de información

Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas de producción. A.12.7.1 Controles de auditoría en los sistemas de

A.15.3.1 Controles de auditoría en los sistemas de

información

información

A.13 Seguridad de las Comunicaciones

A.10 Gestión de comunicaciones y operaciones

A.13.1 Gestión de la seguridad de red

Objetivo: Asegurar la protección de la información en las redes y la protección de los recursos de procesamiento de la información que la soportan. A.13.1.1 Controles de red

A.10.6.1 Controles de red

A.13.1.2 Seguridad de los servicios de red

A.10.6.2 Seguridad de los servicios de red

A.13.1.3 Segregación en redes

A.11.4.5 Segregación en redes

A.13.2 Transferencia de información

Objetivo: Mantener la seguridad de la información que se transfiere dentro de la organización y con cualquier entidad externa A.13.2.1 Políticas y procedimientos para la

A.10.8.1 Políticas y procedimientos para el intercambio

transferencia de información.

de información

A.13.2.2 Acuerdos sobre transferencia de información A.10.8.2 Acuerdos para el intercambio A.13.2.3 Mensajería electrónica A.13.2.4 Acuerdos de confidencialidad o no divulgación A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.10.8.4 Mensajería electrónica A.6.1.5 Acuerdos de confidencialidad A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información

A.14.1 Requisitos de seguridad de los sistemas de información

Objetivo: Asegurar que la seguridad de la información sea parte integral de los sistemas de información en todo el ciclo de vida. Esto también incluye los requisitos para los sistemas de información que prestan servicios en las redes públicas. A.14.1.1 Análisis y especificación de requisitos de

A.12.1.1 Análisis y especificación de requisitos de

seguridad de la información

seguridad

7

27001:2013 A.14.1.2 Protección de servicios de aplicaciones en redes públicas A.14.1.3 Protección de las transacciones de los servicios de aplicaciones

27001:2005 A.10.9.1 Comercio electrónico A.10.9.2 Transacciones en línea

A.14.2 Seguridad en los procesos de desarrollo y soporte

Objetivo: Asegurar que la seguridad de la información sea diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información. A.14.2.1 Política de desarrollo seguro (NUEVO) A.14.2.2 Procedimientos de control de cambios del sistema

A.12.5.1 Procedimientos de control de cambios

A.14.2.3 Revisión técnica de las aplicaciones después A.12.5.2 Revisión técnica de las aplicaciones después de de efectuar cambios en las plataformas

efectuar cambios en los sistemas

A.14.2.4 Restricciones en los cambios a los paquetes

A.12.5.3 Restricciones en los cambios a los paquetes de

de software

software

A.14.2.5 Principios de seguridad en ingeniería de sistemas (NUEVO) A.14.2.6 Entorno de desarrollo seguro (NUEVO) A.14.2.7 Desarrollo tercerizado (Outsourced)

A.12.5.5 Desarrollo de software tercerizado

A.14.2.8 Pruebas de seguridad del sistema (NUEVO) A.14.2.9 Pruebas de aceptación del sistema

A.10.3.2 Aceptación del sistema

A.14.3 Datos de prueba

Objetivo: Asegurar la protección de los datos utilizados para prueba. A.14.3.1 Protección de los datos de prueba

A.12.4.2 Protección de los datos de prueba del sistema

A.15 Relaciones con los proveedores A.15.1 Seguridad de la información en las relaciones con el proveedor

Objetivo: Asegurar la protección de los activos de la organización a las cuales acceden los proveedores. A.15.1.1 Política de seguridad de la información para las relaciones con el proveedor (NUEVO) A.15.1.2 Abordar la seguridad dentro de los acuerdos A.6.2.3 Abordar la seguridad en los acuerdos con del proveedor

terceros

A.15.1.3 Cadena de suministro de tecnologías de la información y comunicaciones (NUEVO) A.15.2 Gestión de entrega del servicio del

8

27001:2013

27001:2005

proveedor

Objetivo: Mantener un determinado nivel de seguridad de la información y entrega de servicio, en línea con los acuerdos del proveedor. A.15.2.1 Monitoreo y revisión de los servicios del proveedor A.15.2.2 Gestión de cambios en los servicios del proveedor A.16 Gestión de incidentes de seguridad de información

A.10.2.2 Monitoreo y revisión de los servicios de terceros A.10.2.3 Gestión de cambios en los servicios de terceros A.13 Gestión de incidentes de seguridad de información

A.16.1 Gestión de incidentes de seguridad de la información y mejoras

Objetivo: Asegurar un enfoque consistente y eficaz de la gestión de los incidentes de seguridad de la información, incluyendo la comunicación de los eventos de seguridad y debilidades. A.16.1.1 Responsabilidades y procedimientos

A.13.2.1 Responsabilidades y procedimientos

A.16.1.2 Reporte de eventos de seguridad de la

A.13.1.1 Reporte de eventos de seguridad de la

información

información

A.16.1.3 Reporte de las debilidades de seguridad de la A.13.1.2 Reporte de las debilidades de seguridad de la información

información

A.16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información (NUEVO) A.16.1.5 Respuesta ante incidentes de seguridad de la información (NUEVO) A.16.1.6 Aprendiendo de los incidentes de seguridad

A.13.2.2 Aprendiendo de los incidentes de seguridad de

de la información

la información

A.16.1.7 Recolección de evidencia

A.13.2.3 Recolección de evidencia

A.17 Aspectos de seguridad de información en la gestión de continuidad del negocio

A.14 Gestión de continuidad del negocio

A.17.1 Continuidad de la seguridad de la información

Objetivo: Incorporar la continuidad de la seguridad de la información en los sistemas de gestión de continuidad de negocio de la organización. A.17.1.1 Planificación de la continuidad de la seguridad de la información (*) A.17.1.2 Implementación de la continuidad de seguridad de la información (*)

A.14.1.2 Continuidad del negocio y evaluación de riesgos A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio

9

27001:2013

27001:2005

A.17.1.3 Verificación, revisión y evaluación de la

A.14.1.5 Pruebas, mantenimiento y reevaluación de los

continuidad de la seguridad de la información (*)

planes de continuidad del negocio

A.17.2 Redundancias

Objetivo: Asegurar la disponibilidad de los recursos de procesamiento de información. A.17.2.1 Disponibilidad de los recursos de procesamiento de información (NUEVO) A.18 Cumplimiento

A.15 Cumplimiento

A.18.1 Cumplimiento de los requisitos legales y contractuales

Objetivo: Evitar incumplimientos de las obligaciones legales, reglamentarios, regulatorios o contractuales relacionadas con la seguridad de la información y de todos los requisitos de seguridad. A.18.1.1 Identificación de la legislación aplicable y los requisitos contractuales

A.15.1.1 Identificación de la legislación aplicable

A.18.1.2 Derechos de propiedad intelectual

A.15.1.2 Derechos de propiedad intelectual

A.18.1.3 Protección de registros

A.15.1.3 Protección de los registros de la organización

A.18.1.4 Privacidad y protección de los datos

A.15.1.4 Protección de datos y privacidad de la

personales

información personal

A.18.1.5 Regulación de controles criptográficos

A.15.1.6 Regulación de controles criptográficos

A.18.2 Revisiones de seguridad de la información

Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo a las políticas y procedimientos de la organización. A.18.2.1 Revisión independiente a la seguridad de la

A.6.1.8 Revisión independiente a la seguridad de la

información

información

A.18.2.2 Cumplimiento de las políticas y normas de

A.15.2.1 Cumplimiento de las políticas y normas de

seguridad

seguridad

A.18.2.3 Revisión del cumplimiento técnico

A.15.2.2 Comprobación del cumplimiento técnico

(*) existe un cambio sustancial en la descripción del control respecto a la norma ISO 27002:2005

10

CONTROLES QUE SE HAN IDO                     

6.2.2 Abordar la seguridad al tratar con los clientes 8.1.1 Funciones y responsabilidades 10.4.2 Controles contra código móvil 10.7.4 Seguridad de la documentación del sistema 10.8.5 Sistemas de información empresarial 10.9.3 Información pública 11.4.2 Autenticación de usuario para conexiones externas 11.4.3 Identificación de los equipos en las redes 11.4.4 Diagnóstico remoto y protección de los puertos de configuración 11.4.6 Control de la conexión a la red 11.4.7 Control de encaminamiento de red 12.2.1 Validación de los datos de entrada 12.2.2 Control de procesamiento interno 12.2.3 Integridad del mensaje 12.2.4 Validación de los datos de salida 11.6.2 Aislamiento de sistema sensibles 12.5.4 Fuga de información 14.1.3 Desarrollo e implementación de planes de continuidad de negocio 14.1.4 Marco de referencia para la planificación de la continuidad del negocio 15.1.5 Prevención del uso indebido de los recursos de procesamiento de información 15.3.2 Protección de las herramientas de auditoría de los sistemas de información

11