DEBER DE SISTEMATIZACIÓN DE CONTENIDOS PROFESIONALES DE LA CARRERA

Nombres: Jairo Salazar, Roberto Toapanta, Cristian Morocho, Ariel Jaramillo y Pablo
Olmedo

Curso: Octavo A

Fecha: 25/01/2022

Grupo: 4

Semana: 7

ISO 27000

ISO/IEC 27000

Cabe reconocer que la familia ISO/IEC 27000 se la conoce como serie ISO 27000, se
desarrolla y publica por la Organización Internacional de Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC) para facilitar un marco reconocido de forma mundial a las
prácticas de gestión de la seguridad de la información.

¿Por qué usar un estándar de la serie ISO/IEC 27000?

La seguridad de la información es de mucha importancia para todas las empresas. Con el

creciente desarrollo y dependencia de la tecnología de la información, es necesario que las
empresas protejan sus activos de datos críticos tanto para sus propias necesidades como
para garantizar la confianza continua de los clientes, y los socios.

Las empresas que alinean sus prácticas de seguridad de la información con un estándar de
la serie ISO 27000 pueden:

● Asegurar sus activos críticos.

● Administrar los riesgos de forma mucho más efectiva.
● Mejorar y mantener la confianza del cliente.
● Demostrar conformidad con las mejores prácticas internacionales.
● Evitar daños de marca, pérdida de ganancias o posibles multas regulatorias.
● Desarrollar su postura de seguridad de la información junto con los desarrollos
tecnológicos.

¿Qué es ISO/IEC 27001?

El pilar de la serie ISO 27000 es ISO 27001:2013, que establece todos los requisitos contra
los cuales se puede auditar y certificar el Sistema de Gestión de Seguridad de la
Información. Todos los otros estándares en la familia ISO 27000 son código de prácticas no
interactivos, que proporcionan pautas de mejores prácticas que las empresas pueden seguir
en todo o en parte y que admiten ISO 27001.

Existe más de una docena de estándares en la familia ISO 27000. El recientemente

publicado ISO/IEC 27000 proporciona una comprensión de cómo se ajustan los estándares:

● Sus alcances
● Roles
● Funciones
 ● Relación entre sí

La comunidad ISO/IEC 27001 encontrará el estándar útil, ya que reúne toda la terminología
esencial usada por otros estándares en la familia ISO/IEC 27000

La norma ISO/IEC 27000 2018 se desarrolló por el comité técnico conjunto ISO/IEC JTC 1,
tecnología de la información, subcomité SC 27, técnicas de seguridad de TI, cuya secretaría
se encuentra en manos de DIN, miembro de ISO para Alemania. Se puede comparar
mediante su miembro nacional de ISO o directamente en la tienda ISO.

ISO 27001

La norma ISO 27001 es un estándar para la seguridad de la información que abarca las
diferentes directivas que tenemos que utilizar para mantener la red de nuestra empresa a
salvo. De forma independiente será necesario que se solicite la certificación, la ISO puede
ayudarnos a revisar punto a punto todos los patrones de seguridad que tenemos que
cumplir para asegurar el buen funcionamiento de los sistemas.

En la norma ISO 27001 se recoge todo lo anterior y mucho más. Seguir todos estos pasos
puede resultar costoso y difícil, pero es el mejor punto de partida si nos queremos asegurar
de que todo vaya bien en la empresa.

NIST SP 800-53 e ISO 27001 a menudo se comparan entre sí en la industria debido a sus
enfoques líderes en seguridad de la información.

Al igual que NIST SP 800-53, ISO 27001 también es un estándar y puede ser implementado
por cualquier tipo de organización. Establece los requisitos mínimos para el establecimiento,
implementación, operación, monitoreo, revisión y mejora de un sistema de gestión de
seguridad de la información (SGSI) compatible. Contiene especificaciones integrales de
mejores prácticas destinadas a salvaguardar y mantener los activos de información
utilizando los 3 principios de confidencialidad, integridad y disponibilidad.

Si bien NIST 800-53 se centra más en los controles de seguridad y cubre una gama más
amplia de grupos para respaldar las mejores prácticas relacionadas con los sistemas de
información federales, la naturaleza de ISO 27001, por otro lado, es técnica en menor
medida y más concentrada en el riesgo para todos. tipos de organizaciones. Certificación
OHS Australia, que trata sobre el Sistema de gestión de seguridad; Es una especie de
certificaciones similares a la serie ISO 27000.

NIST 800-53

¿Qué es NIST 800-53?

El NIST 800-53 es un estándar de seguridad cibernética y un marco de cumplimiento

desarrollado por el Instituto Nacional de Estándares en Tecnología. Es un marco
continuamente actualizado que trata de definir de manera flexible estándares, controles y
evaluaciones en función del riesgo, la rentabilidad y las capacidades.
NIST 800-53 es obligatorio para todos los sistemas de información federales de EE. UU.,
excepto los relacionados con la seguridad nacional, y es tecnológicamente neutral. Además,
sus lineamientos pueden ser adoptados por cualquier organización que opere un sistema de
información con datos sensibles o regulados. Este estándar proporciona un catálogo de
controles de privacidad y seguridad para protegerse contra una variedad de amenazas,
desde desastres naturales hasta ataques hostiles incluyendo controles de privacidad,
seguridad e integración con otros enfoques de ciberseguridad y gestión de riesgo.

¿Cuál es el propósito de NIST 800-53?

El marco NIST 800-53 está diseñado para proporcionar una base de elementos guía,
estrategias, sistemas y controles, que pueden respaldar de forma independiente las
necesidades y prioridades de ciberseguridad de cualquier organización. Al establecer un
marco disponible para todos, fomenta la comunicación y permite que las organizaciones
hablen usando un lenguaje compartido.

Además, debido a que no admite ni sugiere específicamente herramientas, empresas o

proveedores específicos (intencionalmente), está diseñado para usarse a medida que
surgen nuevas tecnologías, sistemas, entornos y cambios organizacionales, cambiando las
necesidades de ciberseguridad.

También permite desarrollar una base para evaluar técnicas y procesos para determinar la
efectividad del control y mejorar la comunicación entre organizaciones a través de un léxico
común para la discusión de conceptos de gestión de riesgos.

Comparación del marco de ciberseguridad ISO 27001/2 vs NIST 800-53

Una consideración clave para elegir un marco de seguridad cibernética implicó comprender
el nivel de contenido que ofrece cada marco, ya que esto afecta directamente los controles
de privacidad y seguridad cibernética disponibles que existen "listos para usar" sin tener que
agregar contenido para que funcione para sus necesidades específicas. necesidades. Si le
pide a un profesional de ciberseguridad que identifique su "marco de mejores prácticas"
preferido, generalmente se trata de NIST o ISO, ya que esos son los marcos más comunes.
Sin embargo, eso no significa que sea ahí donde debas limitar tu búsqueda.

Descripción general del marco de ciberseguridad del NIST

El marco de ciberseguridad del NIST (NIST CSF) no introduce nuevos estándares o

conceptos, pero aprovecha e integra las prácticas de ciberseguridad líderes en la industria
que han sido desarrolladas por organizaciones como NIST e ISO. El CSF comprende una
compilación de pautas basada en el riesgo que puede ayudar a las organizaciones a
identificar, implementar y mejorar las prácticas de seguridad cibernética, y crea un lenguaje
común para la comunicación interna y externa de los problemas de seguridad cibernética. El
NIST CSF está diseñado para evolucionar con los cambios en las amenazas, procesos y
tecnologías de ciberseguridad. Esencialmente, el NIST CSF

La desventaja del NIST CSF es que su brevedad lo hace incompatible con los requisitos de
cumplimiento comunes, como NIST 800-171, PCI DSS e HIPAA . Para esos, se requieren
marcos más completos, como NIST 800-53 o ISO 27002. NIST Cybersecurity Framework
(NIST CSF) tiene la menor cobertura de los principales marcos de ciberseguridad.
Funciona muy bien para empresas más pequeñas o no reguladas. El NIST CSF se usa a
menudo como una herramienta de informes para informar la seguridad al liderazgo
ejecutivo, ya que las cinco categorías de alto nivel de Identificar, Detectar, Proteger,
Responder y Recuperar facilitan el informe de temas complejos bajo esta perspectiva. ¿Qué
documentación necesito para cumplir con NIST CSF, ISO 27002 o NIST 800-53?

Para hacer NIST CSF, ISO 27002 o NIST 800-53 correctamente, se necesita más que un
conjunto de políticas y estándares. Si bien estos son fundamentales para construir un
programa de seguridad cibernética alineado con ese marco, existe la necesidad de una guía
específica del programa que ayude a poner en práctica esas políticas y estándares (por
ejemplo, programa de gestión de riesgos, gestión de terceros, gestión de vulnerabilidades,
etc.). Es importante comprender qué se requiere para cumplir con NIST CSF, ISO 27002 y
NIST 800-53, ya que existen niveles de expectativa significativamente diferentes.

Cuando comienza a buscar "¿Qué debo comprar para cumplir o alinearme con el marco
X?" Es importante comprender qué implican las expectativas de los diversos marcos.
Cuando observa estos marcos desde la perspectiva de un espectro que abarca desde una
cobertura de controles más débil a una más robusta, la expectativa básica es que hay más
requisitos a medida que avanza en este espectro. El siguiente cuadro ayuda a identificar los
diversos productos de ComplianceForge donde se cruzan con los requisitos de NIST CSF,
ISO 27002, NIST 800-53 y NIST 800-171/CMMC. Como se muestra en el gráfico de
espectro en la parte superior de esta página, hay menos requisitos para cumplir con el
marco de ciberseguridad del NIST, mientras que ISO 27002 tiene más requisitos. Sin
embargo, ISO 27002 tiene menos requisitos que NIST 800-53.

ISO 27002 - Soluciones buenas/mejores/excelentes/impresionantes

Cuando se mira desde una escala móvil de bueno, mejor, excelente o impresionante,
tenemos algunas opciones para que satisfaga sus necesidades y presupuesto para alinear
su empresa con ISO 27001/27002. Los nombres de productos que ve en los diversos
paquetes mapa a continuación en la matriz que se muestra arriba para mostrarle cómo se
mapea en ISO 27002.

Buena (ISO Mejor (ISO 27002) Genial (ISO 27002) Impresionante (ISO
27002) 27002)
 CDPP - CDPP + CSOP - Paquete CDPP 3 : Paquete DSP 3 : DSP-
Políticas y Políticas, estándares CDPP-CSOP-SCRM- CSOP-SCRM-RMP-
estándares ISO y procedimientos ISO RMP-CRA-VPMP- CRA-VPMP-IIRP-
27002 27002 IIRP-COOP-SBC-IAP COOP-SBC-IAP-
SPBD

NIST 800-53 - Soluciones buenas/mejores/excelentes/impresionantes

Cuando lo mira desde una escala móvil de bueno, mejor, excelente o increíble, tenemos
algunas opciones para que pueda satisfacer sus necesidades y presupuesto para alinear su
empresa con NIST 800-53. Los nombres de productos que ve en los diversos paquetes a
continuación se asignan a la matriz que se muestra arriba para mostrarle cómo se asignan a
NIST 800-53.

Bueno (NIST Mejor (NIST 800-53) Genial (NIST 800-53) Impresionante (NIST
800-53) 800-53)

CDPP - NIST CDPP + CSOP - Paquete CDPP 4 : Paquete DSP 3 : DSP-

800-53 NIST 800-53 CDPP-CSOP-SCRM- CSOP-SCRM-RMP-
Políticas y Políticas, estándares RMP-CRA-VPMP-IIRP- CRA-VPMP-IIRP-
estándares y procedimientos COOP-SBC-IAP- COOP-SBC-IAP-SPBD
SPBD-SSP