BIENVENIDO
CARRERA: Ingeniería Informática
MAESTRA: María Zavala
MATERIA: Estrategia de Gestión de sistemas de tecnología de información
ALUMNA: Adriana Adame Sánchez
viernes, 17 de noviembre de 2017
CMMI
¿Qué es CMMI?
Un modelo que contiene las mejores prácticas y que provee a las organizaciones de aquellos elementos que son esenciales para que los procesos de negocio de las mismas sean efectivos.
El modelo CMMI fue inicialmente desarrollado para los procesos relativos al desarrollo e implementación de Software por la Carnegie-Mellon University. Este vio la luz por primera vez en el año 1987 como Capability Maturity Model CMM. Dicho nombre, tanto como los cinco niveles de la representación por etapas, están inspirados en el modelo de madurez Manufacturing Maturity Model de Crosby.
En principio el modelo CMM era aplicado en programas de defensa, pero lo cierto es que este ha logrado gran aceptación, tan es así que ha sido sometido a varias revisiones e iteraciones. Debido a su éxito se llevó a cabo el desarrollo de modelos CMM para para diversos ámbitos más allá del software.
El problema con esto, es que debido a la gran proliferación de modelos de desarrollo de software comenzaron a surgir confusiones, motivo por el que el gobierno terminó financiando un proyecto de dos años en que el participaron más de 200 expertos del mundo industrial y académico, con el fin de crear un solo marco extensible para la ingeniería de sistemas, la ingeniería de software y el desarrollo de productos ¿el resultado? El modelo más conocido actualmente: CMMI.
¿Por qué es importante usar un modelo para el desarrollo de software?
La importancia del uso de un modelo radica principalmente en el hecho de que es precisamente lo que permite comprender cuáles son los elementos específicos de una organización, a la vez que ayuda a formular y hablar de qué es lo que se debe mejorar dentro de la misma y de cómo se pueden lograr dichas mejoras. Dicho esto, algunas de las ventajas del uso de un modelo que valen la pena mencionar son las siguientes:
Proporciona un marco y un lenguaje común, lo que se traduce en la ruptura de las barreras de la comunicación en el interior de las organizaciones.
Permite que los usuarios puedan enfocarse específicamente en la mejora, ya que ayudan a que no pierdan la idea global.
Aporta años de experiencia.
Ayudan a mejorar la satisfacción del cliente.
Permiten producir productos y servicios de alta calidad.
Propósito de un modelo CMMI y su variación según el enfoque.
El propósito de un modelo CMMI varía según el enfoque, es decir, si buscamos en los libros de texto encontraremos que el propósito de este modelo es hacer la evaluación de la madurez de los procesos de una organización, para así poder proporcionar una orientación referente a cómo se pueden llevar a cabo las mejoras de aquellos procesos que darán lugar a mejores productos.
Por otra parte, si hablamos con personas del Software Engineering Institute, lo más seguro es que nos digan que CMMI es modelo para la administración de riesgos y que a su vez indica la capacidad que tiene una determinada organización para administrar esos riesgos. Esta indicación es precisamente el indicio de la probabilidad con la que una organización puede cumplir con sus promesas o brindar productos de alta calidad que resulten atractivos para el mercado.
Adicionalmente a estos dos, existe otro enfoque en el cual se dice que el modelo proporciona un buen indicador sobre el cómo una organización actuará ante determinadas situaciones de estrés. Una organización que cuente con una gran madurez, así como con altas capacidades, de seguro afrontará las situaciones inesperadas y de estrés con calma, lo que sin duda les permitirá reaccionar, hacer cambios y seguir adelante.
Por el contrario, una organización con poca madurez y bajas capacidades de seguro tenderá a dejarse llevar por el pánico ante situaciones de estrés, seguirá a ciegas aquellos procesos obviados, o bien, arruinará todos los procesos y volverá al caos.
Los niveles de madurez se muestran en la siguiente imagen:
Niveles CMMI
Nivel 1: No se tienen procesos definidos
Nivel 2: Metodologías y procesos para dar seguimiento a proyectos, aplicar costos, actividades por realizar y obtener funcionalidad.
Nivel 3: Se adaptan actividades de administración de ingeniería en forma documentada y estandarizada
Nivel 4: Los proyectos ya son controlados por medio de métricas, y su control ya es legítimo y confiable.
Nivel 5: La mejora contínua de sus procesos mediante la comparación con sistemas ya elaborados anteriormente, Cada vez se obtienen más técnicas para el mejor desarrollo de software.
Beneficios
– La gestión y la ingeniería de las actividades están más explícitamente enlazadas para los objetivos de negocio.
– Incorporar la experiencia adquirida en otras zonas de las mejores prácticas por ejemplo la medición, la gestión de riesgos y gestión de proveedores
– Aplicar prácticas de alta madurez más robustas.
– Dirección organizacional adicional de funciones críticas para sus productos y servicios.
– Cumplir lo más completamente con las normas ISO
Este modelo es demasiado importante, debería de ser implementado por las empresas que constantemente realizan desarrollo de software, ya que cada vez es más grande la demanda de los sistemas, y es necesario estar preparado organizacionalmente para poder satisfacer las demandas con un nivel de respuesta altamente calificado, El modelo CMMI es muy importante ya que ayuda a no trabajar más de lo necesario, sus técnicas ahorran tiempo y todo lo importante para poder generar más rápidamente todas estas demandas.
Ventajas
Reducción del coste de desarrollo
Localización y resolución de defectos
Mejora en la fiabilidad de la planificación, en términos de dedicación y de calendario
Aumento de la productividad
Reducción de los trabajos derivados de correcciones tras las fases de prueba
Aumento de la efectividad sobre la planificación realizada
Mejora en la calidad de producto
Reducción del número de defectos y detección en las fases tempranas de su ciclo de vida
Mejora da la imagen de marca.
Desventajas
Su falta de adecuación al enfoque a servicio que está experimentando el sector de las TI, en todas sus líneas de actividad, así como el alto esfuerzo de implantación que exige
El proceso de evaluación es muy costoso en tiempo y esfuerzo
La complejidad de la evaluación continua puede atentar contra la definición de objetivos concretos de madurez.
Algunos beneficios de CMMI
Hacer uso del modelo CMMI para el desarrollo de software, no solo permite optimizar procesos de negocios, sino que también trae consigo una serie de beneficios, entre ellos los siguientes:
La gestión y la ingeniería de las actividades se encuentran entrelazadas de una manera explícita, tan es así que facilita el reconocimiento de los objetivos del negocio.
Permite hacer la incorporación de la experiencia adquirida en otras zonas de las mejores prácticas. Algunos ejemplos serían la medición, gestión de riesgos y de proveedores.
Poder aplicar prácticas de alta madurez mucho más robustas.
Cumplir de forma mucho más completa con las normas ISO.
Estos son solo algunos de los aspectos básicos del modelo CMMI que nos permiten tener un acercamiento al por qué es ideal para el proceso de desarrollo de software. Sin embargo, si deseas saber un poco más sobre Desarrollo de Software en México, Panamá y Ecuador te invitamos a disfrutar de un recorrido por algunos de los aspectos claves de esta solución haciendo la descarga gratuita de este whitepaper:
"Desarrollo de Software: Tecnología para romper barreras de comunicación y optimizar procesos de negocios".
Conclusión
Define modelos para la mejora, evaluación de procesos para desarrollo, mantenimiento, operación de sistemas y productos de software. Propósito: El propósito del proyecto es proveer mejoras en costo, tiempo, y calidad de proyectos en desarrollo de ingeniería.
Existen dos tipos de CMMI uno que está enfocado a servicios y su propósito es ayudar a las organizaciones que prestan servicios y otro con un enfoque hacia la adquisición, cuyo propósito es ayudar a las organizaciones que tratan con proveedores, incluyendo la administración y la industria.
Para el CMMI el producto y el producto de trabajo son dos conceptos muy importantes dado que el producto lo considera como productos de trabajo destinados a ser entregados a un cliente o usuario final, y el termino producto de trabajo es considerado para indicar el producto útil de un proceso. Por el enfoque que tiene este modelo se concentra más en la construcción de productos para su entrega con poco interés para las actividades de pos-desarrollo.
Para mejores resultados de la aplicación CMMI se requiere defunciones tales como el asegurar la calidad, la gestión de configuraciones y la mejora en el desarrollo de procesos.
ISO 17799
Introducción
Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
Política de seguridad: escribir y comunicar la política de seguridad de la compañía
Organización de seguridad: definir los roles y las responsabilidades.
Monitorear a los socios y a las empresas tercerizadas
Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados.
Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad.
Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad.
Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento.
Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia.
Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía.
Objetivo
Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
Ventajas
· Aumento de la seguridad efectiva de los sistemas de información
· Correcta planificación y gestión de la seguridad
· Garantías de continuidad del negocio
· Mejora continua a través del proceso de auditoría interna
· Incremento de los niveles de confianza de los clientes y socios de negocios
· Aumento del valor comercial y mejora de la imagen de la organización
· Auditorias de seguridad más precisas y fiables
· Menor responsabilidad civil
Estructura de la norma
Establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la información:
· Política de seguridad
· Aspectos organizativos para la seguridad
· Clasificación y control de activos
· Seguridad ligada al personal
· Seguridad física y del entorno
· Gestión de comunicaciones y operaciones
· Control de accesos
· Desarrollo y mantenimiento de sistemas
· Gestión de continuidad del negocio
· Conformidad con la legislación
Conclusión
· ISO 17799 norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información.
L La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.
Implantar ISO 17799 puede requerir de un trabajo de consultoría, que adapte los requerimientos de la norma a las necesidades de cada organización.
La adaptación presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adaptación de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad.
Hay que hacer análisis de los riesgos y monitorear continuamente la situación.
Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecida.
NORMA ISO 17799 VS. ISO 27001
En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.
La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.
El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.
A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:
a) Security Policy;
b) Organizing Information Security;
c) Asset Management;
d) Human Resources Security;
e) Physical and Environmental Security;
f) Communications and Operations Management;
g) Access Control;
h) Information Systems Acquisition, Development and Maintenance;
i) Information Security Incident Management;
j) Business Continuity Management;
k) Compliance.
MARCO DE REFERENCIA ISO 27001
Introducción
Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento; aquí se puede ver la cantidad de certificados en los últimos años:
Objetivo
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.
Etapas
ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.
Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
Ventajas
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:
Cumplir con los requerimientos legales – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.
Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Procesos
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas
Documentación obligatoria
ISO 27001 requiere que se confeccione la siguiente documentación:
Alcance del SGSI (punto 4.3)
Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
Declaración de aplicabilidad (punto 6.1.3 d)
Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
Informe de evaluación de riesgos (punto 8.2)
Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
Inventario de activos (punto A.8.1.1)
Uso aceptable de los activos (punto A.8.1.3)
Política de control de acceso (punto A.9.1.1)
Procedimientos operativos para gestión de TI (punto A.12.1.1)
Principios de ingeniería para sistema seguro (punto A.14.2.5)
Política de seguridad para proveedores (punto A.15.1.1)
Procedimiento para gestión de incidentes (punto A.16.1.5)
Procedimientos para continuidad del negocio (punto A.17.1.2)
Requisitos legales, normativos y contractuales (punto A.18.1.1)
Y estos son los registros obligatorios:
Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)
Monitoreo y resultados de medición (punto 9.1)
Programa de auditoría interna (punto 9.2)
Resultados de auditorias internas (punto 9.2)
Resultados de la revisión por parte de la dirección (punto 9.3)
Resultados de medidas correctivas (punto 10.1)
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)
Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad adicionales si lo considera necesario.
¿Cómo obtener la certificación?
Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado.
Para obtener la certificación como organización, se debe implementar la norma tal como se explicó en las secciones anteriores y luego se debe aprobar la auditoría que realiza la entidad de certificación. La auditoría de certificación se realiza siguiendo estos pasos:
1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.
2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.
Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.
Consulte también: Certificarse en ISO 27001 – Cómo prepararse para la auditoría de certificación.
Las personas pueden asistir a diversos cursos para obtener certificados. Los más populares son:
Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores.
Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información.
Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.
Normas relacionadas
ISO/IEC 27002 proporciona directrices para la implementación de los controles indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más información sobre cómo implementar esos controles. A la ISO 27002 anteriormente se la conocía como ISO/IEC 17799 y surgió de la norma británica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los objetivos.
ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información. Es un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo llevar a cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la implementación. ISO 27005 ha surgido de la norma británica BS 7799-3.
ISO 22301 define los requerimientos para los sistemas de gestión de continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta última requiere la implementación de la continuidad del negocio aunque no proporciona demasiada información. Más información sobre ISO 22301 aquí.
ISO 9001 define los requerimientos para los sistemas de gestión de calidad. Aunque a primera vista la gestión de calidad y la gestión de seguridad de la información no tienen mucho en común, lo cierto es que aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de documentos, auditoría interna, revisión por parte de la dirección, medidas correctivas, definición de objetivos y gestión de competencias. Esto quiere decir que si una empresa ha implementado ISO 9001 le resultará mucho más sencillo implementar ISO 27001.
Conclusión
La realidad nos ofrece que las empresas se enfrentan diariamente a un enorme número de riesgos e inseguridad que proviene de una elevada variedad de fuentes diferentes, entra las que podemos entrar los nuevos negocios y nuevas herramientas relacionadas con la tecnología de la información y la comunicación, que los directores generales y los directores informáticos de la organización deben aplicar.
Todas las herramientas se tiene que aplicar según los diferentes objetivos que tengan fijados las organizaciones con la mayor seguridad, y garantizando la confidencialidad, integridad y disponibilidad.
Para poder proteger la información se tiene que realizar la implementación, el mantenimiento y la mejora de las medidas de seguridad para que cualquier tipo de organización consiga sus objetivos y además garantice que cumple con la legislación, aumentando el prestigio y la imagen de la compañía.
El estándar internacional ISO27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
Suscribirse a:
Entradas (Atom)