La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los utilizan como marco trabajo de facto para implementar la seguridad informática.
Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura dentro de una organización. Doce dominios independientes representan los componentes del estándar ISO 27000. Estos doce dominios sirven para organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad informática.
La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios en lugar de capas para describir las categorías de seguridad. El motivo es que el modelo de ciberseguridad de ISO no es una relación jerárquica. Es un modelo de pares en el que cada dominio tiene una relación directa con los otros dominios. El modelo de ciberseguridad de ISO 27000 es muy similar al modelo de OSI en que es fundamental que los profesionales en ciberseguridad comprendan ambos modelos para tener éxito.
Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y prácticas eficaces de administración de seguridad. También facilitan la comunicación entre organizaciones.
12 Dominios de la ciberseguridad
Evaluación de riesgos
Este es el primer paso en el proceso de administración de riesgos. Determina el valor cuantitativo y cualitativo del riesgo relacionado con una situación específica o una amenaza reconocida.
Políticas de seguridad
Es un documento que aborda las restricciones y los comportamientos de los miembros de una organización y especifica a menudo cómo se puede acceder a los datos y quién puede acceder a determinados datos.
Organización de la seguridad informática
Es el modelo de gestión establecido por una organización para la seguridad de la información.
Administración de recursos
Es un inventario y el esquema de clasificación para los recursos de información.
Seguridad de los recursos humanos
Aborda los procedimientos de seguridad relacionados con empleados que ingresan, se desplazan y dejan una organización.
Seguridad física y medioambiental
Describe la protección de las instalaciones informáticas dentro de una organización.
Administración de operaciones y comunicación
Describe la administración de los controles de seguridad técnica en los sistemas y las redes.
Adquisición, desarrollo y mantenimiento de los sistemas informáticos
Describe la integración de la seguridad en las aplicaciones.
Control de acceso
Describe la restricción de los derechos de acceso a las redes, los sistemas, las aplicaciones, las funciones y los datos.
Administración de incidentes de seguridad informática
Describe cómo anticipar y responder a las violaciones de seguridad informática.
Administración de la continuidad empresarial
Describe la protección, el mantenimiento y la recuperación de los sistemas y procesos críticos.
Cumplimiento
Describe el proceso de garantizar el cumplimiento de las políticas, los estándares y las regulaciones de seguridad informática.
Referencia
Cybersecurity Essentials - CISCO
No hay comentarios.:
Publicar un comentario