Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Estándares y Normas ISO de Ciberseguridad

    Cargado por

    Oscar Rivas
    32 vistas4 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    32 vistas4 páginas

    Estándares y Normas ISO de Ciberseguridad

    Cargado por

    Oscar Rivas

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Estándares y Normas ISO de Ciberseguridad

    Los estándares de seguridad son técnicas generalmente establecidas en materiales


    publicados que intentan proteger el entorno cibernético de un usuario u organización.
    Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software,
    procesos, información en almacenamiento o tránsito, aplicaciones, servicios y
    sistemas que pueden conectarse directa o indirectamente a las redes.

    El objetivo principal es para reducir los riesgos, incluyendo prevención o atenuación


    de ciberataques. Estos materiales publicados consisten en colecciones de
    herramientas, políticas seguridad, conceptos de seguridad, salvaguardas de seguridad,
    guías, enfoques de gestión de riesgos, acciones, capacitación, mejores, prácticas,
    aseguramiento y tecnologías.

    ISO 15504

    también conocido por sus siglas en inglés SPICE, propone un modelo para la evaluación de la
    capacidad en los procesos de desarrollo de productos Software.

    objetivo:

    · Proponer y desarrollar un estándar de evaluación de procesos de software.

    · Evaluar su desempeño mediante su experimentación en la industria del desarrollo de SW.

    · Promover la transferencia de tecnología de la evaluación de procesos de software a la


    industria del software a nivel mundial.

    Establece requisitos para una evaluación de procesos y los modelos de evaluación


    pretendiendo que estos requisitos puedan ser aplicados en cualquier evaluación en una
    organización:

    · Evaluación de procesos

    · Mejora de procesos

    · Evaluación de la capacidad y/o madurez de los procesos

    ISO 27001
    consistente en medidas orientadas a proteger la información, indistintamente del formato de
    la misma, contra cualquier amenaza, de forma que garanticemos en todo momento la
    continuidad de las actividades de la empresa.

    Los Objetivos del SGSI son preservar la Confidencialidad, Integridad, y Disponibilidad de la


    Información.

    Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
    requerimientos del negocio. Los riesgos de seguridad de la información representan una
    amenaza considerable para las empresas debido a la posibilidad de pérdida financiera o daño,
    la pérdida de los servicios esenciales de red, o de la reputación y confianza de los clientes

    La gestión de riesgos es uno de los elementos clave en la prevención del fraude online, robo de
    identidad, daños a los sitios web, pérdida de los datos personales y muchos otros incidentes de
    seguridad de la información. Sin un marco de gestión de riesgos sólida, las organizaciones se
    exponen a muchos tipos de amenazas informáticas.

    El diseño y la implementación de un SGSI dará confianza a clientes y proveedores que la


    seguridad de la información se toma en serio dentro de la organización, estando a la
    vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la
    información y a y los problemas de la seguridad.

    ISO 27002
    describe cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser
    elegidos en base a una evaluación de riesgos de los activos más importantes de la empresa.

    El principal objetivo es establecer directrices y principios generales para iniciar, implementar,


    mantener y mejorar la gestión de la seguridad de la información en una organización. Esto
    también incluye la selección, implementación y administración de controles, teniendo en
    cuenta los entornos de riesgo encontrados en la empresa. Esta norma se puede utilizar para
    apoyar la implantación del SGSI en cualquier tipo de organización, pública o privada, de
    pequeño o gran porte, con o sin fines de lucro; y no sólo en las empresas de tecnología.
    Algunos beneficios asociados a la aplicación de la norma son:

    · Mejor concientización sobre la seguridad de la información

    · Mayor control de activos e información sensible

    · Ofrece un enfoque para la implementación de políticas de control

    · Oportunidad de identificar y corregir puntos débiles

    · Reducción del riesgo de responsabilidad por la no implementación de un SGSI o


    determinación de políticas y procedimientos

    · Mejor organización con procesos y mecanismos bien diseñados y gestionados;

    · Promueve reducción de costos con la prevención de incidentes de seguridad de la


    información

    ISO 27005
    se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las
    directrices para la gestión de riesgos de seguridad de la información en una empresa. Es
    aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que
    puedan complicar la seguridad de la información de su organización. No recomienda una
    metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema
    de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

    Los usuarios eligen el método que mejor se adapte para, por ejemplo, una evaluación de
    riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto
    riesgo, se establece un contexto en el que se definen alcances y límites; y se organiza la
    Gestión de Riesgos de Seguridad de la Información

    La evaluación de riesgos de Seguridad de la Información comprende la identificación, análisis y


    evaluación de los riesgos. La norma ISO 27005 también comprende el tratamiento de riesgos,

    la aceptación del riesgo, la comunicación y consulta, el monitoreo y revisión. Además, la norma


    incorpora algunos elementos iterativos
    ISO 27014
    es una norma de seguridad de la información. A través de esta, las organizaciones podrán
    dirigir, comunicar, evaluar y controlar la seguridad de la información que está relacionada con
    las actividades de la organización. Su ámbito de aplicación es para todas las clases y tamaños
    de organizaciones. Indica seis principios:

    · Establecer seguridad de la información en toda la empresa.

    · Seguir un enfoque basado en el riesgo

    · Establecer la dirección de las decisiones de inversión

    · Confirmar el cumplimento de los requisitos externos e internos.

    · Promover un ambiente de seguridad positiva.

    · Evidenciar el rendimiento en relación con los resultados del negocio.

    ISO 27017
    relativa a la seguridad de los servicios en la nube, es un código de conducta coherente que
    sirve de complemento a esta norma y establece buenas prácticas de seguridad en el marco de
    los servicios en la nube. Para cada artículo, se especifican las posibles consideraciones relativas
    a estos servicios en la nube.

    La norma proporciona una guía con 37 controles en la nube basados en ISO 27002. Además,
    ofrece siete nuevos controles en la nube que tratan los siguientes puntos:

    · Quién es el responsable de lo que sucede entre el proveedor del servicio y el cliente

    · La eliminación de activos cuando un contrato se resuelve

    · Protección y separación del entorno virtual del cliente

    · Configurar una máquina virtual

    · Operaciones y procedimientos administrativos relacionados con el entorno en la nube

    · Seguimiento de la actividad de clientes en la nube

    · Alineación del entorno de la red virtual y en la nube

    no solo se centra en los proveedores de servicios en la nube, sino también en la seguridad del
    conjunto de estos servicios; en donde también se tiene en cuenta el punto de vista del cliente.
    Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor
    de servicios en la nube.

    La norma permite estandarizar las relaciones entre los clientes y los proveedores de servicios
    en la nube mediante un modelo de análisis e intercambio común, facilitando así su gestión. Las
    empresas que se ajustan a la norma ISO 27017 permiten que los usuarios de sus servicios
    disfruten de unas mejores garantías de seguridad.
    ISO 27018
    La norma es un código de buenas prácticas en controles de protección de datos para servicios
    de computación en la nube. La norma se complementa con la norma ISO 27001 e ISO 27002 en
    el ámbito de gestión de la seguridad de la información y que se dirige de forma específica a los
    proveedores de servicios de nube. Al igual que la norma ISO 27017, esta norma también
    complementa las medidas de seguridad establecidas por la norma ISO 27002 .

    El objetivo de la norma es crear un conjunto de normas, procedimientos y controles mediante


    los que los proveedores de servicios en la nube que actúan como procesadores de datos. Así
    pueden garantizar el cumplimiento de las obligaciones legales en materia de tratamiento de
    los datos personales. Al mismo tiempo proporciona a los consumidores potenciales de
    servicios en la nube una herramienta comparativa útil para ejercer su derecho de verificar y
    auditar los niveles de cumplimiento de las regulaciones establecidas por el proveedor.

    Entre las medidas podemos ver las siguientes:

    · El proveedor tendrá que proporcionar las herramientas

    · El proveedor debe velar por el cumplimiento del tratamiento de datos únicamente a los
    descritos a los clientes en el momento.

    · El tema de la subcontratación de forma particularmente incisiva, incluso antes de empezar


    a utilizar el servicio.

    ISO 27032
    La Norma ofrece lineamientos generales de orientación para fortalecer el estado de la
    ciberseguridad en una empresa, utilizando los puntos técnicos y estratégicos más importantes
    para esa actividad y los que están relacionados con:

    · La Seguridad en la Redes

    · Seguridad en Internet

    · Seguridad de la información

    · La Seguridad de las Aplicaciones

    Para abordar los retos de la ciberseguridad, la norma define las guías y se centra en dos áreas:
    por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad
    en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos
    asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en
    lo que se denomina comúnmente un Marco de Ciberseguridad o CSF, CyberSecurity
    Framework.

    La Norma ISO/IEC 27032 pretende garantizar la seguridad en los intercambios de información


    en la red para lograr hacer frente de una manera más efectiva al cibercrimen con más
    cooperación entre todos.

    Con esta norma se ha creado un nuevo marco para mejorar la seguridad en internet y está
    totalmente orientado a intentar garantizar un entorno seguro a través de directrices y guías de
    seguridad.

    También podría gustarte