Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 15504
también conocido por sus siglas en inglés SPICE, propone un modelo para la evaluación de la
capacidad en los procesos de desarrollo de productos Software.
objetivo:
· Evaluación de procesos
· Mejora de procesos
ISO 27001
consistente en medidas orientadas a proteger la información, indistintamente del formato de
la misma, contra cualquier amenaza, de forma que garanticemos en todo momento la
continuidad de las actividades de la empresa.
Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Los riesgos de seguridad de la información representan una
amenaza considerable para las empresas debido a la posibilidad de pérdida financiera o daño,
la pérdida de los servicios esenciales de red, o de la reputación y confianza de los clientes
La gestión de riesgos es uno de los elementos clave en la prevención del fraude online, robo de
identidad, daños a los sitios web, pérdida de los datos personales y muchos otros incidentes de
seguridad de la información. Sin un marco de gestión de riesgos sólida, las organizaciones se
exponen a muchos tipos de amenazas informáticas.
ISO 27002
describe cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser
elegidos en base a una evaluación de riesgos de los activos más importantes de la empresa.
ISO 27005
se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las
directrices para la gestión de riesgos de seguridad de la información en una empresa. Es
aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que
puedan complicar la seguridad de la información de su organización. No recomienda una
metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema
de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
Los usuarios eligen el método que mejor se adapte para, por ejemplo, una evaluación de
riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto
riesgo, se establece un contexto en el que se definen alcances y límites; y se organiza la
Gestión de Riesgos de Seguridad de la Información
ISO 27017
relativa a la seguridad de los servicios en la nube, es un código de conducta coherente que
sirve de complemento a esta norma y establece buenas prácticas de seguridad en el marco de
los servicios en la nube. Para cada artículo, se especifican las posibles consideraciones relativas
a estos servicios en la nube.
La norma proporciona una guía con 37 controles en la nube basados en ISO 27002. Además,
ofrece siete nuevos controles en la nube que tratan los siguientes puntos:
no solo se centra en los proveedores de servicios en la nube, sino también en la seguridad del
conjunto de estos servicios; en donde también se tiene en cuenta el punto de vista del cliente.
Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor
de servicios en la nube.
La norma permite estandarizar las relaciones entre los clientes y los proveedores de servicios
en la nube mediante un modelo de análisis e intercambio común, facilitando así su gestión. Las
empresas que se ajustan a la norma ISO 27017 permiten que los usuarios de sus servicios
disfruten de unas mejores garantías de seguridad.
ISO 27018
La norma es un código de buenas prácticas en controles de protección de datos para servicios
de computación en la nube. La norma se complementa con la norma ISO 27001 e ISO 27002 en
el ámbito de gestión de la seguridad de la información y que se dirige de forma específica a los
proveedores de servicios de nube. Al igual que la norma ISO 27017, esta norma también
complementa las medidas de seguridad establecidas por la norma ISO 27002 .
· El proveedor debe velar por el cumplimiento del tratamiento de datos únicamente a los
descritos a los clientes en el momento.
ISO 27032
La Norma ofrece lineamientos generales de orientación para fortalecer el estado de la
ciberseguridad en una empresa, utilizando los puntos técnicos y estratégicos más importantes
para esa actividad y los que están relacionados con:
· La Seguridad en la Redes
· Seguridad en Internet
· Seguridad de la información
Para abordar los retos de la ciberseguridad, la norma define las guías y se centra en dos áreas:
por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad
en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos
asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en
lo que se denomina comúnmente un Marco de Ciberseguridad o CSF, CyberSecurity
Framework.
Con esta norma se ha creado un nuevo marco para mejorar la seguridad en internet y está
totalmente orientado a intentar garantizar un entorno seguro a través de directrices y guías de
seguridad.