Hace poco me encontré con ISO 27000. Básicamente, lo que aprendí es que se utiliza para fines de auditoría en las organizaciones. ¿Puedes decir qué es exactamente, si me equivoco? ¿Qué herramientas están disponibles para la auditoría ISO 27001 y cómo puedo aprender sobre ello? ¿Se pueden utilizar herramientas de penetración simples para este propósito?
ISO27000 tiene poco que ver con las pruebas de penetración. Es una colección de estándares ISMS (Sistemas de gestión de la seguridad de la información) que proporcionan una lista de controles que una organización debería implementar, ya que habilita (o debería habilitar) la gobernanza de seguridad adecuada.
Es más a nivel conceptual y proporciona más un conjunto de reglas que se pueden usar para crear políticas y procesos.
Los estándares se pueden utilizar tanto para la implementación como para la auditoría. Los auditores revisarán si ha implementado correctamente todos los conceptos y le acreditarán con el certificado si se considera que ha realizado una implementación correcta. Solicitarán ver las políticas definidas y las contrastarán con la situación real. Esto casi nunca es técnico.
Uno de los controles (hay varios) requiere que la compañía realice pruebas regulares de ataque y penetración. El auditor no realizará una penetración por sí mismo, pero solicitará informes relevantes. Las políticas a menudo también definen cómo deben abordarse los problemas o cómo pueden aceptarse o mitigarse los riesgos. El auditor revisará el informe y solicitará cómo se realiza el seguimiento (y revisará si se realiza correctamente)
ISO / IEC 27001: 2013 es un estándar internacional promovido por ISO que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). El objetivo principal del SGSI es reducir el riesgo de TI de su organización mediante la identificación de amenazas, la implementación de controles de seguridad, la medición de su efectividad y su mejora continua.
La ISO / IEC 27001: 2013 es un estándar de una family . Por ejemplo, ISO 27000 tiene definiciones, mejores prácticas ISO 27002 (¡mejores prácticas! = Requisitos) y así sucesivamente ...
El principal propósito de la norma ISO 27001 no es auditarse sino implementarse primero en una organización. Después de eso, puede ser auditado. Las auditorías pueden ser de primera parte, segunda o tercera parte (certificación). Una auditoría de un tercero que pasa por una organización acreditada le otorga la certificación de su SGSI conforme a la norma ISO 27001.
Si solo audita el cumplimiento con ISO 27001 sin implementarlo primero, como por ejemplo para tener una medida de su postura de seguridad, en mi opinión, el resultado será engañoso porque ISO 27001 requiere cierta documentación y la falta de ella no lo hace. implica que no estás seguro (tenerlo tampoco implica que estás seguro).
OMI, la mejor manera de aprender sobre ISO 27001 es comprar los estándares ISO 27001 e ISO 27002 en el sitio de ISO y estudiarlos.