1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. Normas ISO compatibles con la resiliencia
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Normas ISO compatibles con la resiliencia

Introducción

En el capítulo anterior, se presentaron las principales normas y guías de ciberseguridad útiles para comprender y aplicar la ciberseguridad/ciberresiliencia en las empresas. En este capítulo se revisarán ahora una serie de normas ISO/IEC (no exhaustivas) que son esenciales para implantar una política de ciberresiliencia: 27001, 27002, 27005, 27017, 27018, 22301, 20000 y 27701.

Documentos normativos de la familia ISO/IEC

1. Normas relativas a la gestión de la seguridad de la información

a. ISO/IEC 27001 - Sistema de gestión de la seguridad de la información

Esta norma de certificación es sin duda el pilar en el cumplimiento de la gestión de la seguridad informática dentro de una organización.

Publicada inicialmente en 2005 y revisada en 2013 (ISO/CEI 27001:2013), esta norma cubre la implantación de un sistema de gestión de la seguridad de la información (SGSI). Está disponible (previo pago) en el sitio web de AFNOR.

Ámbito de aplicación

"Esta norma internacional especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en el contexto de una organización. También incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información, adaptados a las necesidades de la organización. Los requisitos establecidos en esta norma son genéricos y están destinados a aplicarse a cualquier organización, independientemente de su tipo, tamaño o naturaleza. No está permitido que una organización prescinda de ninguno de los requisitos especificados en las cláusulas 4 a 10 cuando alegue el cumplimiento de esta norma."

https://www.boutique.afnor.org/en-gb/standard/nf-en-iso-iec-27001/information-technology-security-techniques-information-security-management-/fa187277/59084

Contenido de la norma

El corpus documental consta de dos partes:

Artículos del 4 al 10

Se trata de requisitos relativos a los siguientes ámbitos:

  • Contexto organizativo

  • Liderazgo

  • Planificación

  • Soporte

  • Funcionamiento

  • Evaluación de resultados

  • Mejora

En estos artículos, cuando la información especifica el término "documentado", significa que debe elaborarse un documento como parte de un sistema de gestión de documentos. Se solicitará como prueba en la parte de la auditoría inicial. Por ejemplo, en 4.3 - Determinar el alcance del sistema de gestión de la seguridad de la información, se especifica: "El alcance estará disponible como información documentada".

Apéndice A

Lista de objetivos y medidas de referencia....

Diagrama de ciberresiliencia normalizado

A modo de conclusión, parece útil proponer en esta fase un resumen de las distintas normas tratadas en este capítulo:

images/03RI03.png

Normas ISO ciberresistentes