Las ISO son normas o estándares de seguridad
establecidas por la Organización Internacional para la Estandarización (ISO) y
la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer
estándares y guías relacionados con sistemas de gestión y aplicables a
cualquier tipo de organización internacionales y mundiales, con el propósito de
facilitar el comercio, facilitar el intercambio de información y contribuir a
la transferencia de tecnologías.
En concreto la familia de normas ISO/IEC 27000 son
un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo)
que proporciona un marco para la gestión de la seguridad.
La seguridad de la información, según la ISO 27001,
se basa en la preservación de su confidencialidad, integridad y disponibilidad,
así como la de los sistemas aplicados para su tratamiento.
1. Confidencialidad: la información no se pone a
disposición ni se revela a individuos, entidades o procesos no autorizados.
2. Integridad: mantenimiento de la exactitud y
completitud de la información y sus métodos de proceso.
3. Disponibilidad: acceso y utilización de la
información y los sistemas de tratamiento de la misma por parte de los
individuos o procesos autorizados cuando lo requieran.
ISO APLICADAS A AUDITORIA DE SISTEMAS:
- ISO 27001:
- ISO 27000:
- ISO 27002:
- ISO 27003- Guía para la implementación de un Sistema de Gestión de Seguridad de la Información
- ISO 27004-Medicion de la seguridad de la información
- ISO 27005-Gestion de riesgos de la seguridad de la información
- ISO 27006-Guia para la certificación del SGSI
- ISO 27007-Guia para auditar
- ISO 27031-Continuidad del negocio
- ISO 27033-Seguridad en la red
- ISO 27034-seguridad de aplicaciones
- ISO 27799-para la industria sanitaria
- ISO/IEC 20000-Gestion de servicios de TI
- ISO 15408
ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Ventajas de implantar un SGSI:
- Analizar posibles riesgos
- Establecer medidas de seguridad
- Controles para evaluar medidas
- Anticipar problemas
- Manejar contingencias
CERTIFICACIÓN
La certificación de un SGSI es un proceso mediante
el cual una entidad de certificación externa, independiente y acreditada audita
el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación
real y su eficacia y, en caso positivo emite el correspondiente certificado.
BENEFICIOS
El hecho de certificar un SGSI según la norma
ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:
- Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
- Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
- Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Holqs
ResponderEliminarMuy buenas informacion
ResponderEliminarLa auditoria de ciberseguridad de la información es un proceso de evaluación que evalúa las prácticas de seguridad establecidas de una organización. Es un proceso que determina la efectividad de los sistemas de defensa establecidos ante cualquier amenaza. La auditoría de seguridad de la información generalmente incluye análisis de vulnerabilidades, pruebas de penetración, evaluaciones de red y mucho más que ayudan a determinar vulnerabilidades y lagunas de seguridad en los sistemas de TI. La auditoría es una combinación de administración, hardware físico, aplicación de software y evaluación de la red. De esta manera, el proceso de evaluación puede ayudar a una empresa / organización a comprender su postura actual de seguridad.
ResponderEliminar