Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nombres: Jairo Salazar, Roberto Toapanta, Cristian Morocho, Ariel Jaramillo y Pablo
Olmedo
Curso: Octavo A
Fecha: 25/01/2022
Grupo: 4
Semana: 7
ISO 27000
ISO/IEC 27000
Cabe reconocer que la familia ISO/IEC 27000 se la conoce como serie ISO 27000, se
desarrolla y publica por la Organización Internacional de Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC) para facilitar un marco reconocido de forma mundial a las
prácticas de gestión de la seguridad de la información.
Las empresas que alinean sus prácticas de seguridad de la información con un estándar de
la serie ISO 27000 pueden:
El pilar de la serie ISO 27000 es ISO 27001:2013, que establece todos los requisitos contra
los cuales se puede auditar y certificar el Sistema de Gestión de Seguridad de la
Información. Todos los otros estándares en la familia ISO 27000 son código de prácticas no
interactivos, que proporcionan pautas de mejores prácticas que las empresas pueden seguir
en todo o en parte y que admiten ISO 27001.
● Sus alcances
● Roles
● Funciones
● Relación entre sí
La comunidad ISO/IEC 27001 encontrará el estándar útil, ya que reúne toda la terminología
esencial usada por otros estándares en la familia ISO/IEC 27000
La norma ISO/IEC 27000 2018 se desarrolló por el comité técnico conjunto ISO/IEC JTC 1,
tecnología de la información, subcomité SC 27, técnicas de seguridad de TI, cuya secretaría
se encuentra en manos de DIN, miembro de ISO para Alemania. Se puede comparar
mediante su miembro nacional de ISO o directamente en la tienda ISO.
ISO 27001
La norma ISO 27001 es un estándar para la seguridad de la información que abarca las
diferentes directivas que tenemos que utilizar para mantener la red de nuestra empresa a
salvo. De forma independiente será necesario que se solicite la certificación, la ISO puede
ayudarnos a revisar punto a punto todos los patrones de seguridad que tenemos que
cumplir para asegurar el buen funcionamiento de los sistemas.
En la norma ISO 27001 se recoge todo lo anterior y mucho más. Seguir todos estos pasos
puede resultar costoso y difícil, pero es el mejor punto de partida si nos queremos asegurar
de que todo vaya bien en la empresa.
NIST SP 800-53 e ISO 27001 a menudo se comparan entre sí en la industria debido a sus
enfoques líderes en seguridad de la información.
Al igual que NIST SP 800-53, ISO 27001 también es un estándar y puede ser implementado
por cualquier tipo de organización. Establece los requisitos mínimos para el establecimiento,
implementación, operación, monitoreo, revisión y mejora de un sistema de gestión de
seguridad de la información (SGSI) compatible. Contiene especificaciones integrales de
mejores prácticas destinadas a salvaguardar y mantener los activos de información
utilizando los 3 principios de confidencialidad, integridad y disponibilidad.
Si bien NIST 800-53 se centra más en los controles de seguridad y cubre una gama más
amplia de grupos para respaldar las mejores prácticas relacionadas con los sistemas de
información federales, la naturaleza de ISO 27001, por otro lado, es técnica en menor
medida y más concentrada en el riesgo para todos. tipos de organizaciones. Certificación
OHS Australia, que trata sobre el Sistema de gestión de seguridad; Es una especie de
certificaciones similares a la serie ISO 27000.
NIST 800-53
El marco NIST 800-53 está diseñado para proporcionar una base de elementos guía,
estrategias, sistemas y controles, que pueden respaldar de forma independiente las
necesidades y prioridades de ciberseguridad de cualquier organización. Al establecer un
marco disponible para todos, fomenta la comunicación y permite que las organizaciones
hablen usando un lenguaje compartido.
También permite desarrollar una base para evaluar técnicas y procesos para determinar la
efectividad del control y mejorar la comunicación entre organizaciones a través de un léxico
común para la discusión de conceptos de gestión de riesgos.
Una consideración clave para elegir un marco de seguridad cibernética implicó comprender
el nivel de contenido que ofrece cada marco, ya que esto afecta directamente los controles
de privacidad y seguridad cibernética disponibles que existen "listos para usar" sin tener que
agregar contenido para que funcione para sus necesidades específicas. necesidades. Si le
pide a un profesional de ciberseguridad que identifique su "marco de mejores prácticas"
preferido, generalmente se trata de NIST o ISO, ya que esos son los marcos más comunes.
Sin embargo, eso no significa que sea ahí donde debas limitar tu búsqueda.
La desventaja del NIST CSF es que su brevedad lo hace incompatible con los requisitos de
cumplimiento comunes, como NIST 800-171, PCI DSS e HIPAA . Para esos, se requieren
marcos más completos, como NIST 800-53 o ISO 27002. NIST Cybersecurity Framework
(NIST CSF) tiene la menor cobertura de los principales marcos de ciberseguridad.
Funciona muy bien para empresas más pequeñas o no reguladas. El NIST CSF se usa a
menudo como una herramienta de informes para informar la seguridad al liderazgo
ejecutivo, ya que las cinco categorías de alto nivel de Identificar, Detectar, Proteger,
Responder y Recuperar facilitan el informe de temas complejos bajo esta perspectiva. ¿Qué
documentación necesito para cumplir con NIST CSF, ISO 27002 o NIST 800-53?
Para hacer NIST CSF, ISO 27002 o NIST 800-53 correctamente, se necesita más que un
conjunto de políticas y estándares. Si bien estos son fundamentales para construir un
programa de seguridad cibernética alineado con ese marco, existe la necesidad de una guía
específica del programa que ayude a poner en práctica esas políticas y estándares (por
ejemplo, programa de gestión de riesgos, gestión de terceros, gestión de vulnerabilidades,
etc.). Es importante comprender qué se requiere para cumplir con NIST CSF, ISO 27002 y
NIST 800-53, ya que existen niveles de expectativa significativamente diferentes.
Cuando comienza a buscar "¿Qué debo comprar para cumplir o alinearme con el marco
X?" Es importante comprender qué implican las expectativas de los diversos marcos.
Cuando observa estos marcos desde la perspectiva de un espectro que abarca desde una
cobertura de controles más débil a una más robusta, la expectativa básica es que hay más
requisitos a medida que avanza en este espectro. El siguiente cuadro ayuda a identificar los
diversos productos de ComplianceForge donde se cruzan con los requisitos de NIST CSF,
ISO 27002, NIST 800-53 y NIST 800-171/CMMC. Como se muestra en el gráfico de
espectro en la parte superior de esta página, hay menos requisitos para cumplir con el
marco de ciberseguridad del NIST, mientras que ISO 27002 tiene más requisitos. Sin
embargo, ISO 27002 tiene menos requisitos que NIST 800-53.
Cuando se mira desde una escala móvil de bueno, mejor, excelente o impresionante,
tenemos algunas opciones para que satisfaga sus necesidades y presupuesto para alinear
su empresa con ISO 27001/27002. Los nombres de productos que ve en los diversos
paquetes mapa a continuación en la matriz que se muestra arriba para mostrarle cómo se
mapea en ISO 27002.
Buena (ISO Mejor (ISO 27002) Genial (ISO 27002) Impresionante (ISO
27002) 27002)
CDPP - CDPP + CSOP - Paquete CDPP 3 : Paquete DSP 3 : DSP-
Políticas y Políticas, estándares CDPP-CSOP-SCRM- CSOP-SCRM-RMP-
estándares ISO y procedimientos ISO RMP-CRA-VPMP- CRA-VPMP-IIRP-
27002 27002 IIRP-COOP-SBC-IAP COOP-SBC-IAP-
SPBD
Cuando lo mira desde una escala móvil de bueno, mejor, excelente o increíble, tenemos
algunas opciones para que pueda satisfacer sus necesidades y presupuesto para alinear su
empresa con NIST 800-53. Los nombres de productos que ve en los diversos paquetes a
continuación se asignan a la matriz que se muestra arriba para mostrarle cómo se asignan a
NIST 800-53.
Bueno (NIST Mejor (NIST 800-53) Genial (NIST 800-53) Impresionante (NIST
800-53) 800-53)