Instituto Tecnolgico de Acapulco

Ingeniera en Sistemas Computacionales

Seguridad en Tecnologas de la Informacin

Profesor: Dr. Eduardo de la Cruz Gmez

Alumno: Carlos Alberto Garca Garca

Trabajo:Investigacin de la Unidad 2 Gestin de la Seguridad de la Informacin respecto a la norma ISO/IEC 27002

Horario: 11:00 am 12:00 pm05/03/2015NDICEIntroduccin32.1 Evaluacin de Riesgos52.2 Requerimientos de Seguridad52.3 Polticas de Seguridad82.4 Organizacin de la Seguridad112.5 Gestin de Activos15Conclusin19

IntroduccinQu es ISO?ISO es una organizacin no gubernamental que forma un puente entre los sectores pblicos y privados.Se trata de la organizacin desarrolladora y publicadora de Estndares Internacionales ms grande en el mundo. ISO es una red de instituciones de estndares nacionales de 157 pases.Debido a que la informacin es un activo no menos importante que otrosactivoscomerciales, es esencial para cualquier negocio u organizacin contar con las medidas adecuadas de proteccin de la informacin, especialmente en la actualidad, donde la informacin se difunde a travs de miles y miles deredesinterconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la informacin.La informacin puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o utilizandomedioselectrnicos, hablada en una conversacin, etc. Sea cual sea la forma en la que se tenga la informacin, debe estar en todo caso protegida.La seguridad de la informacin se logra implementando un conjunto adecuado de controles,polticas,procesos,procedimientos,estructurasorganizacionales, y otrasaccionesque hagan que la informacin pueda ser accedida slo por aquellas personas que estn debidamente autorizadas para hacerlo.Es importante y necesario para lasempresasrealizar unaevaluacinde riesgos para identificar amenazas para los activos, as como tambin para conocer y analizar la vulnerabilidad y laprobabilidadde ocurrencia de accesos, robo o alteracin de la informacin, y el impacto potencial que esto llegara a tener. Una vez se hayan identificado los riesgos, se procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel aceptable.

Estndar Internacional ISO/IEC 27002(antiguamente ISO/IEC 1779)El documento del Estndar Internacional ISO/IEC 27002, despus de laintroduccin, se divide en quince captulos.Este Estndar Internacional va orientado a la seguridad de la informacin en las empresas uorganizaciones, de modo que las probabilidades de ser afectados por robo, dao o prdida de informacin se minimicen al mximo.Este Estndar contiene un nmero de categoras de seguridad principales, entre las cuales se tienen once clusulas: a)Polticade seguridad. b)Aspectos organizativos de la seguridad de la informacin. c)Gestin de activos. d)Seguridad ligada a losrecursos humanos. e)Seguridadfsicay ambiental. f)Gestin decomunicacionesy operaciones. g)Controlde acceso. h)Adquisicin,desarrolloymantenimientode lossistemas de informacin. i)Gestin de incidentes en la seguridad de la informacin. j)Gestin de la continuidad del negocio. k)Cumplimiento

2.1 Evaluacin de RiesgosSe deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.La reduccin de riesgos no puede ser unprocesoarbitrario y regido por la voluntad de los dueos o administradores dela empresa, sino que adems de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislacin y las regulaciones nacionales e internacionales,objetivosorganizacionales, bienestar declientesy trabajadores,costosde implementacin y operacin (pues existen medidas de seguridad de grancalidadpero excesivamente caras, tanto que es ms cara la seguridad que la propia ganancia deuna empresa, afectando larentabilidad).Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero que s es posible reducir al mximo los riesgos que amenacen con afectar la seguridad en una organizacin.

2.2 Requerimientos de SeguridadCumplimientoEl diseo, operacin, uso y administracin de los sistemas de informacin estn regulados por disposiciones legales y contractuales.Los requisitos normativos y contractuales pertinentes a cada sistema de informacin deberan estar debidamente definidos y documentados.El objetivo es cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la organizacin y/o a los empleados que incurran en responsabilidad civil o penal como resultado de incumplimientos.Se debe revisar la seguridad de los sistemas de informacin peridicamente a efectos de garantizar la adecuada aplicacin de la poltica, normas y procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de informacin.Cumplimiento de los requisitos legales y contractualesEl diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.Los requisitos legales especficos deberan ser advertidos por los asesores legales de la organizacin o por profesionales adecuadamente cualificados.Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la informacin que se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos entre fronteras).Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes en mltiples jurisdicciones.

Actividades de control del riesgoIdentificacin de la legislacin aplicable: Se deberan identificar, documentar y mantener al da de manera explcita para cada sistema de informacin y para la organizacin todos los requisitos estatutarios, normativos y contractuales legislativos junto al enfoque de la organizacin para cumplir con estos requisitos.Derechos de propiedad intelectual (DPI): Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.Proteccin de los registros de la organizacin: Los registros se deberan proteger contra prdidas, destruccin, falsificacin, accesos y publicacin no autorizados de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.Proteccin de datos y privacidad de la informacin personal: Se debera garantizar la privacidad y la proteccin de la informacin personal identificable segn requiere la legislacin y las normativas pertinentes aplicables que correspondan.Regulacin de los controles criptogrficos: Se deberan utilizar controles de cifrado de la informacin en cumplimiento con todos los acuerdos, la legislacin y las normativas pertinentes.

Mtricas asociadasNmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes.

Revisiones de la seguridad de la informacinSe deberan realizar revisiones regulares de la seguridad de los sistemas de informacin.Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas tcnicas y sistemas de informacin deberan ser auditados para el cumplimiento de los estndares adecuados de implantacin de la seguridad y controles de seguridad documentados.Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la direccin y verificaciones externas de buen funcionamiento.Deberan existir controles para proteger los sistemas en activo y las herramientas de auditora durante el desarrollo de las auditoras de los sistemas de informacin.Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y mtodos de buenas prcticas similares como referencias de comparacin.Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI.

Actividades de control del riesgoRevisin independiente de la seguridad de la informacin: Se debera revisar el enfoque de la organizacin para la implementacin (los objetivos de control, los controles, las polticas, los procesos y procedimientos para la seguridad de la informacin) y gestin de la seguridad de la informacin en base a revisiones independientes e intervalos planificados o cuando tengan lugar cambios significativos en la organizacin.Cumplimiento de las polticas y normas de seguridad: Los gerentes deberan revisar regularmente el cumplimiento del procesamiento y los procedimientos de informacin dentro de su rea de responsabilidad respecto a las polticas, normas y cualquier otro tipo de requisito de seguridad correspondiente.Comprobacin del cumplimiento: Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas y normas de seguridad dispuestas por la informacin de la organizacin.

Mtricas asociadasNmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales.Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de recomendaciones, respecto a los plazos acordados por la direccin al final de las auditoras.

2.3 Polticas de SeguridadObjetivoDirigir y dar soporte a la gestin de la seguridad de la informacin en concordancia con los requerimientos del negocio, las leyes y las regulaciones.

Polticas de seguridadUn documento denominado "poltica" es aquel que expresa una intencin e instruccin global en la manera que formalmente ha sido expresada por la Direccin de la organizacin.

El contenido de las polticas se basa en el contexto en el que opera una organizacin y suelen ser considerados en su redaccin los fines y objetivos de la organizacin, las estrategias adoptadas para alcanzar sus objetivos, la estructura y los procesos adoptados por la organizacin, los objetivos generales y especficos relacionados con el tema de la poltica y requisitos de las polticas procedentes de niveles ms superiores (legales de obligado cumplimiento, del sector al que pertenece la organizacin, de la propia organizacin de niveles superiores o ms amplios, ...) relacionadas.

Una estructura tpica de los documentos de polticas podra ser:

Resumen: Poltica Resumen - Visin general de una extensin breve; una o dos frases y que pueden aparecer fusionadas con la introduccin. Introduccin: Breve explicacin del asunto principal de la poltica. mbito de aplicacin: Descripcin de los departamentos, reas o actividades de una organizacin a las que afecta/aplica la poltica. Cuando es relevante en este apartado se mencionan otras polticas relevantes a las que se pretende dar cobertura desde sta. Objetivos: Descripcin de la intencin de la poltica. Principios: Descripcin de las reglas que conciernen a acciones o decisiones para alcanzar los objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave asociados con el asunto principal de la poltica para pasar posteriormente a identificar las reglas de operacin de los procesos. Responsabilidades: Descripcin de quin es responsable de qu acciones deber cumplir con los requisitos de la poltica. En algunos casos, esto puede incluir una descripcin de los mecanismos organizativos, as como las responsabilidades de las personas con roles designados. Resultados clave: Descripcin de los resultados relevantes para las actividades de la organizacin que se obtienen cuando se cumplen los objetivos. Polticas relacionadas: Descripcin de otras polticas relevantes para el cumplimiento de los objetivos, usualmente se indican detalles adicionales en relacin a temas especficos.

La poltica de alto nivel (ms genrica) habitualmente relacionada con el sistema de gestin para la seguridad de la informacin (SGSI) suele estar apoyada por polticas de bajo nivel, especficas a aspectos concretos en temticas como el control de accesos, la clasificacin de la informacin, la seguridad fsica y ambiental, uso aceptable de activos, escritorio y pantallas libres de informacin sensible, dispositivos mviles y teletrabajo, backups, proteccin contra el malware, etc.

Partiendo del principio tpico en seguridad "lo que no est permitido est prohibido" cada organizacin debera detectar las necesidades de los usuarios y valorar los controles necesarios que fundamenten las polticas aplicable, aplicando la mejor estructura y relaciones entre ellas para su gestin.

Directrices de la Direccin en seguridad de la informacinLa gerencia debera establecer de forma clara las lneas de las polticas de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo polticas de seguridad en toda la organizacin.

Actividades de control del riesgoPolticas para la seguridad de la informacin: Se debera definir un conjunto de polticas para la seguridad de la informacin, aprobado por la direccin, publicado y comunicado a los empleados as como a todas las partes externas relevantes.Revisin de las polticas para la seguridad de la informacin: Las polticas para la seguridad de la informacin se deberan planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuacin y efectividad.

Mtricas asociadasCobertura de las polticas (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado polticas y sus normas, procedimientos y directrices asociadas.Grado de despliegue y adopcin de las polticas en la organizacin (medido por auditora, gerencia o auto-evaluacin).

2.4 Organizacin de la SeguridadObjetivo #1

El objetivo es el de establecer un esquema directivo de gestin para iniciar y controlar la implementacin y operativa de la seguridad de la informacin en la organizacin.

Aspectos OrganizativosPara establecer la administracin de la seguridad de la informacin, como parte fundamental de los objetivos y actividades de la organizacin, se debe definir formalmente un mbito de gestin para efectuar tareas tales como la aprobacin de polticas de seguridad, la coordinacin de la implementacin de la seguridad y la asignacin de funciones y responsabilidades.Para una actualizacin adecuada en materia de seguridad se debera contemplar la necesidad de disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperacin y colaboracin en materia de seguridad de la informacin.Las protecciones fsicas de las organizaciones son cada vez ms reducidas por las actividades de la organizacin requiere por parte del personal interno/externo que acceden a informacin desde el exterior en situacin de movilidad temporal o permanente. En estos casos se considera que la informacin puede ponerse en riesgo si el acceso se produce en el marco de una inadecuada administracin de la seguridad, por lo que se establecern las medidas adecuadas para la proteccin de la informacin.

Organizacin internaLa gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin.Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin.El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin.Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad.Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por ejemplo, implique la cooperacin y la colaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores y el equipo de seguridad con expertos en reas como la gestin de seguros y la gestin de riesgos.

Actividades de control del riesgoAsignacin de responsabilidades para la SI: Se deberan definir y asignar claramente todas las responsabilidades para la seguridad de la informacin.Segregacin de tareas: Se deberan segregar tareas y las reas de responsabilidad ante posibles conflictos de inters con el fin de reducir las oportunidades de una modificacin no autorizada o no intencionada, o el de un mal uso de los activos de la organizacin.Contacto con las autoridades: Se deberan mantener los contactos apropiados con las autoridades pertinentes.Contacto con grupos de inters especial: Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.Seguridad de la informacin en la gestin de proyectos: Se debera contemplar la seguridad de la informacin en la gestin de proyectos e independientemente del tipo de proyecto a desarrollar por la organizacin.

Mtricas asociadasPorcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la informacin por debajo de umbrales explcitamente aceptados por la direccin.Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la informacin.

Objetivo #2El objetivo es el de garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

Dispositivos para movilidad y teletrabajoLa proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas formas especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo.Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin.Debera disponer de polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos.Por lo general, el valor de la informacin supera con mucho el del hardware.Asegurarse de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.

Actividades de control del riesgoPoltica de uso de dispositivos para movilidad: Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de informtica mvil y las telecomunicaciones.Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de seguridad de apoyo para proteger a la informacin accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.

Mtricas asociadas"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.

2.5 Gestin de ActivosEl objetivo es que la organizacin tenga conocimiento preciso sobre los activos que posee como parte importante de la administracin de riesgos.

Algunos ejemplos de activos son: Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad y contingencia, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicacin de contenidos, utilitarios, etc. Activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores automticos, switches de datos, etc.), medios magnticos (cintas, discos, dispositivos mviles de almacenamiento de datos pen drives, discos externos, etc.-), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.).

Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y criticidad de la informacin que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en funcin a ello, con el objeto de sealar cmo ha de ser tratada y protegida dicha informacin.Las pautas de clasificacin deben prever y contemplar el hecho de que la clasificacin de un tem de informacin determinado no necesariamente debe mantenerse invariable por siempre, y que sta puede cambiar de acuerdo con una poltica predeterminada por la propia organizacin. Se debera considerar la cantidad de categoras a definir para la clasificacin dado que los esquemas demasiado complejos pueden tornarse engorrosos y antieconmicos o resultar poco prcticos.

Responsabilidad sobre los activosTodos los activos deberan ser justificados y tener asignado un propietario y se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados.La implantacin de controles especficos podra ser delegada por el propietario convenientemente. No obstante, el propietario permanece como responsable de la adecuada proteccin de los activos.El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la aprobacin del rgano de direccin, para el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona disponga de los derechos de propiedad reales del activo.Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo / pruebas / produccin, etc.).Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados.

Actividades de control de riesgoInventario de activos: Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un inventario con los ms importantes.Propiedad de los activos: Toda la informacin y activos del inventario asociados a los recursos para el tratamiento de la informacin deberan pertenecer a una parte designada de la Organizacin.Uso aceptable de los activos: Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de tratamiento de la informacin.Devolucin de activos: Todos los empleados y usuarios de terceras partes deberan devolver todos los activos de la organizacin que estn en su posesin/responsabilidad una vez finalizado el acuerdo, contrato de prestacin de servicios o actividades relacionadas con su contrato de empleo.

Mtricas asociadasPorcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la informacin segn sea necesario y para mantener dichos riesgos en niveles aceptables.

Clasificacin de la informacinEl objetivo es el de asegurar que se aplica un nivel de proteccin adecuado a la informacin.Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin previsto para su tratamiento.La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir niveles de proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de clasificacin de la informacin para definir el conjunto adecuado de niveles de proteccin y comunicar la necesidad de medidas especiales para el tratamiento.Mantenga la sencillez. Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

Actividades de control del riesgoDirectrices de clasificacin: La informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y criticidad para la Organizacin.Etiquetado y manipulado de la informacin: Se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la informacin, de acuerdo con el esquema de clasificacin adoptado por la organizacin.Manipulacin de activos: Se deberan desarrollar e implantar procedimientos para la manipulacin de los activos acordes con el esquema de clasificacin de la informacin adoptado por la organizacin.

Mtricas asociadasPorcentaje de activos de informacin en cada categora de clasificacin (incluida la de "an sin clasificar").

Manejo de los soportes de almacenamientoEl objetivo es evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada almacenada en soportes de almacenamiento.Los medios deberan ser controlados y fsicamente protegidos.Se deberan establecer los procedimientos operativos adecuados para proteger los documentos, medios informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema contra la divulgacin, modificacin, retirada o destruccin de activos no autorizadas.Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Cifre todos los datos sensibles o valiosos antes de ser transportados.

Actividades de control del riesgoGestin de soportes extrables: Se deberan establecer procedimientos para la gestin de los medios informticos removibles acordes con el esquema de clasificacin adoptado por la organizacin.

Eliminacin de soportes: Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.Soportes fsicos en trnsito: Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin.

Mtricas asociadasPorcentaje de soportes de backup o archivo que estn totalmente encriptados.

ConclusinPuedo concluir que la norma ISO/IEC 27002, es un documento que nos orienta en el tema de seguridad, como es que se pude llevar a cabo dentro de una empresa y que pasos son los que debemos de seguir para captar vulnerabilidades dentro del sistema en donde nos encontremos trabajando.

Nos da informacin sobre las polticas y el tipo de organizacin que debe intervenir dentro de una empresa para que el personal este consciente de las medidas que se deben llevar a cabo, para no sufrir algn tipo de ataque.

Bibliografahttp://iso27000.es/iso27002.html20