Apuntes Marcos y Regulaciones. La familia de normas ISO 27000
Enviado por Jacobo Perez Laverde • 16 de Mayo de 2024 • Apuntes • 3.272 Palabras (14 Páginas) • 47 Visitas
ETAPA 2 – EXAMINAR MARCOS Y REGULACIONES
CARLOS JAVIER PEREZ MARIN
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2023
ETAPA 2 – EXAMINAR MARCOS Y REGULACIONES
CARLOS JAVIER PÉREZ MARÍN
Nombre
Eduard Antonio Mantilla Torres
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
Bogotá D.C.
2023
Tabla de Contenido
pág.
Lista de Tablas 4
Introducción 5
Objetivos 7
Objetivo General 7
Objetivos Específicos 7
Desarrollo de la Actividad 8
Conclusiones 16
Referencias Bibliográficas 17
Lista de Tablas
Tabla 1 Comparación normas serie ISO 27000 8
Tabla 2 Requerimientos PCI vs aplicación normas ISO 27001 y 27002 14
Introducción
Justificación
Tal y como se mencionó en la introducción, este trabajo de la asignatura de Estándares, Normatividad y Regulación de la Seguridad Informatica sirve para el reconocimiento de la familia de normas ISO 27001 y como estas apoyan al fortalecimiento de la seguridad informática en cualquier organización sin importar su sector económico o tamaño. Teniendo en cuenta lo anterior, este trabajo se hace necesario a la luz de identificar las características de dicha familia de normas y como estas son de utilidad en las empresas.
Objetivos
Objetivo General
Identificar plenamente las series de la familia de normas ISO 27000, mediante la comprensión de la utilidad especifica de cada una a fin de ser aplicadas en una empresa
Objetivos Específicos
Comparar las series de la familia ISO 27000 a fin de determinar los enfoques de cada una de estas.
Examinar la pertinencia de la aplicación de las normas ISO 27001 e ISO 27002 en el caso propuesto de estudio.
Desarrollo de la Actividad
- Análisis comparativo de series de la familia ISO 27000.
Tabla 1
Comparación normas serie ISO 27000
Serie | Características | Alcance | Escenarios de implementación | Ventajas | Desventajas |
27001 | Especificación general de los requisitos genéricos necesarios para establecer, implementar, mantener y realizar mejora continua de un SGSI (Sistema de Gestión de Seguridad de la Información) en una organización. | Cualquier tipo de organización sin importar el tipo, tamaño y naturaleza del negocio. | Implementación del SGSI en Banksecure | Permite la mejora de la postura de seguridad de la organización Promueve la mejora continua de los procesos Da un entendimiento general de las necesidades para la implementación del SGSI. | Requiere compromiso de todas las partes interesadas sobre todo del liderazgo de la organización. Carece de detalle de las actividades a realizar para la implementación del SGSI, las cuales son cubiertas a fondo en las otras normas de la familia ISO 27000 |
27002 | Detalle de los controles expuestos en el Anexo A de la norma ISO 27001:2022 | Cualquier tipo de organización que este implementando un SGSI, sin importar el tipo, tamaño y naturaleza del negocio, sin embargo, también puede servir como guía para mejora individual de procesos. | Departamento TI, los cuales tienen a cargo la aplicación de los controles tecnológicos (8 – ISO 27002) Departamento de Recursos Humanos, quienes tienen a cargo la aplicación de los controles de personas. Departamento de Cumplimiento y Auditoria, quienes se encargan de la aplicación de los controles organizaciones en conjunto con otras áreas | Presenta el detalle de cada uno de los controles a aplicar dentro del proceso de implementación de un SGSI | Carece de certificación ya que el estándar certificable es la ISO 27001. No se puede trabajar por si sola ya que hay controles podrían ser no aplicables a la organización. |
27005 | Dedicado a guiar aspectos relacionados con la implementación de los requerimientos de riesgo de seguridad de la información establecidos en la ISO 27001:2022 | Organizaciones que están en proceso de implementación/mejora continua de ISO 27001. Personas/Partes interesadas involucradas en los temas de riesgo. | Dentro del escenario no se menciona, sin embargo, dentro de la implementación del SGSI, la evaluación del riesgo es necesaria para cumplir con el punto 6.1. de la ISO 270001. | Detalla las actividades recomendadas para realizar la evaluación del riesgo, algo que se menciona de manera global en ISO 27001 y 27002. No existe una restricción a nivel organizacional o a nivel de compliance para seguir los lineamientos establecidos en ISO 27005 | No es un documento de obligatorio seguimiento, ya que las generalidades están establecidas en ISO 27001. |
27003 | Entrega los lineamientos y guía detallada para la implementación de un SGSI | Cualquier tipo de organización sin importar el tipo, tamaño y naturaleza del negocio, la cual este implementando un SGSI | De acuerdo con el detalle brindado por esta norma, la implementación del SGSI en Banksecure puede ser abordada de una forma más sencilla. | Provee mayor explicación a los puntos 4 a 10 indicados en la ISO 27001 | No es un documento de obligatorio seguimiento, ya que las generalidades están establecidas en ISO 27001. |
27035 | Documento orientado a las indicaciones necesarias para la gestión de incidentes de Seguridad de la Información | Aplicable a cualquier empresa que realiza gestión de incidentes de seguridad de la información | Esta norma puede ser utilizada para cumplimiento de los controles 5.24 a 5.27 de las ISO 27001 y 27002. | Sirve como norma complementaria para la ISO 27001 y 27002 esto teniendo en cuenta que dentro del proceso de implementación de SGSI se indican varios requerimientos respecto a incidentes, que se muestran con mayor detalle en la ISO 27035 | No es un documento de obligatorio seguimiento, ya que las generalidades están establecidas en ISO 27001 y los controles requeridos están en ISO 27002 |
...