Actividad 1: ISO 27002:2005 vs ISO 27002:2013
En cuanto a su estructura hallamos que la ISO
27002:2013 reduce el número de dominios respecto a la versión anterior. Así,
mientras la versión del 2005 tiene 11 dominios, la del 2013 tiene 14. Estas
tres nuevas secciones tratan el cifrado (10), la seguridad en las
telecomunicaciones (13) y las relaciones con suministradores (15). Sin embargo,
a pesar de que esta última versión trata más dominios sintetiza mucho la
información, facilitando así su comprensión. De esta manera, la versión del
2005 tenía 106 páginas y la del 2013 tiene 78.
Por otra parte, en la versión del 2013
hallamos 35 objetivos de control, 4 menos que los que detallaba la versión del
2005, que tenía 39.
Finalmente, en cuanto a los controles, podemos
ver que la versión del 2013 tiene 114, 19 menos que la versión de 2005, que
tiene 133.
Así mismo, cabe mencionar que la mayoría del
contenido de cada sección ha sido reescrito y, por ejemplo, la sección 4
presente en la versión del 2005 fue eliminada ya que esta se explicaba en la
ISO 27005 y en la ISO 31000. Además, algunos términos han sufrido varios
cambios.
Actividad 2: dominios
A continuación, para cada dominio de la ISO 27002:2013, vamos a imaginarnos su ponderación de seguridad, el nivel de amenaza y la probabilidad de amenaza. Así pues, para cada uno, luego vamos a multiplicar los tres valores para así obtener la cobertura de riesgo para cada dominio.
A continuación, para cada medida del dominio de "seguridad ligada a los recursos humanos", hemos establecido un nivel de amenaza y una probabilidad de amenaza. Así pues, luego hemos hecho el producto del nivel por la probabilidad, para calcular la cobertura de riesgo de cada medida.
No hay comentarios:
Publicar un comentario