El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Estándares de seguridad: la serie ISO 27000

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Vamos a empezar con los frameworks por la serie ISO 27000, un conjunto de estándares de seguridad diseñado por la Organización Internacional de Estandarización para dotar a las organizaciones de un marco comprensible y modelable que aplicar en sus infraestructuras.

Transcripción

La Organización Internacional para la Estandarización es una organización no gubernamental e independiente nacida en 1946 con 25 miembros, y en la que actualmente participan 162 organismos de estandarización nacionales. Su objetivo es aunar el trabajo de los organismos miembro para producir estándares de aceptación internacional no obligatorios que ayuden a la estructuración normalizada de distintos procesos productivos y de control, como pueden ser la gestión de calidad, el control medioambiental, o el tema que nos ocupa: la seguridad de la información, para la que se desarrollaron los estándares de la serie 27000. La implementación de estándares ISO no es obligatoria en ninguna empresa ni organismo público, aunque cada vez es más común que empresas y organismos públicos exijan a proveedores y colaboradores que se certifiquen en algunos de estos estándares para que su línea productiva completa, tanto la interna como la externa, se ajuste a ellos, y por tanto, sea evaluable bajo los mismos criterios. Por eso, es muy común que en concursos públicos se exija a empresas participantes estar certificados con algún estándar de las series 9000 o 27000. Una de las ventajas de la estandarización es que esta puede ser auditada y/o certificada por terceras partes de forma independiente, garantizando la calidad de las medidas adoptadas y la eficiencia de las mismas. Hay que tener en cuenta que algunos documentos de cada serie son certificables, y otros no, pero todos ellos se apoyan entre sí para conseguir el objetivo que normalmente se define en el 0, pero cuya implementación se especifica en el 1; es decir, 27000 es la definición, 27001 es el objetivo, y los demás son bases que nos ayudarán a que la implementación de la ISO 27001 sea lo más robusta posible, pero no todos ellos serán certificables de forma independiente. La ISO 27000 es un resumen de los sistemas de gestión de seguridad de la información, así como de los términos y definiciones usadas en este ámbito. En la documentación oficial de la ISO, disponible en inglés y francés, encontraremos que los sistemas de gestión de seguridad de la información, o SGSI, están referenciados como ISMI por sus siglas en inglés. En el primer documento de la serie, el 0, se nos explica en qué consiste un SGSI, partiendo de la definición de términos como "información" y "gestión", para pasar al concepto de seguridad. Describen los procesos involucrados en un SGSI, que son: y la mejora contínua del proceso. Así pues, un sistema de gestión de seguridad de la información es el conjunto de políticas, procedimientos, guías, recursos, y actividades asociadas gestionadas en conjunto por una organización con el objetivo de controlar sus activos de información para que estos sirvan a su cometido a la hora de alcanzar los objetivos de la organización. Su implementación se basa principalmente en la evaluación de riesgos, y en el nivel de aceptación de los mismos que la organización que lo implementa pueda o desee asumir. El mismo documento, el 27000, habiendo dejado claro qué es un SGSI, pasa a describir en qué consisten el resto de documentos de la serie para que apliquemos los estándares que más se adecúen a nuestras necesidades y requisitos. Los documentos 27000 y 27006 especifican los requisitos para el establecimiento del estándar, siendo el primero el más interesante para la ciberseguridad. La ISO 27001 especifica los requisitos para establecer, implementar, operar, monitorizar, revisar, mantener, y mejorar los sistemas de gestión de seguridad de la información en el contexto de los riesgos globales que afectan a una organización. Especifique los requisitos a cumplir por organismos y empresas de cualquier tamaño y condición. De entre los demás estándares de la lista 27000 caben destacar los siguientes: la ISO 27002, que se ocupa de establecer una lista comúnmente aceptada de objetivos de control y buenas prácticas, que se divide en 14 dominios, 35 objetivos de control, y 114 controles específicos; la ISO 27003, que se centra en los aspectos críticos de implementación de un SGSI acorde a lo establecido en la ISO 27001, trabaja desde el planteamiento hasta la implementación práctica de los planes de gestión; la ISO 27005, que es la que se ocupa específicamente de la evaluación de riesgos para la seguridad de la información; y la ISO 27007, que define la forma en que deben auditarse los sistemas de gestión de la información. Si decidimos implementar una ISO 27001 en nuestra organización para gestionar los riesgos de la seguridad de nuestros recursos de información, deberemos considerar varias cuestiones: la necesidad de implementación de un SGSI, algo difícilmente cuestionable; la necesidad de la auditoría externa, que es recomendable para obtener una evaluación independiente y saber si realmente lo estamos haciendo de la forma correcta; y la necesidad de certificarnos, que no es imprescindible salvo que lo exija algún organismo o empresa con la que trabajemos, aunque, a nivel de imagen corporativa, puede proporcionar cierto prestigio.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.