Cumplimiento con un marco reconocido en la industria - ISO27k

Navega tus respuestas
1

Se me ha pedido que averigüe cómo lograr que nuestra empresa cumpla con un "Marco de [Seguridad] Reconocido por la Industria" donde "" Marco Reconocido por la Industria "significa un sistema de gestión de seguridad de la información (" SGSI ") reconocido en la industria a nivel mundial. tal como el estándar ISMS ISO / IEC 27001: 2005 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos, según lo publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional ("ISO 27001") y los Objetivos de Control para Información y marco de buenas prácticas de tecnología relacionado establecido por la Asociación de Control y Sistemas de Información y el Instituto de Gobernanza de TI ("COBIT") ".

No estoy seguro de dónde recurrir con esto. ¿Es esto algo que otros recomendarían para contratar a una empresa de seguridad más grande? ¿O hay calificaciones particulares que debo buscar en un consultor o contratista para ayudar?

Estoy fuera de mi alcance con esto, por lo que cualquier consejo sería apreciado. Gracias.

    
pregunta user16247 25.02.2014 - 21:59
fuente

2 respuestas

2

Debido a que este es un requisito del cliente y no una motivación interna para "convertirse en" un programa de seguridad de manera natural, no es una tarea trivial porque tiene limitaciones de tiempo (uno podría suponer).

Suponiendo, entonces, que necesita la verificación por parte de un tercero de su alineación con un marco, tendrá que encontrar una persona calificada y certificada en el marco con el que desea alinearse. ISO2700 tiene consultorías certificadas que ayudan a las organizaciones a hacer exactamente esto. COBIT también cuenta con una certificación que permite a las personas demostrar que saben cómo auditar una organización contra COBIT.

Busque una empresa que lo ayude a lograrlo y solicite sus certificaciones y experiencia.

    
respondido por el schroeder 25.02.2014 - 23:11
fuente
1

Voy a colaborar aquí con respecto a ISO / IEC 27001 ya que sé algo al respecto. También estoy familiarizado con COBIT, pero generalmente lo ignoro en mi línea de trabajo, así que no diré mucho al respecto aquí y se lo dejaré a alguien que sepa mucho más sobre él: -

ISO / IEC 27001 puede ser un compromiso importante, pero depende de muchos factores. Básicamente, requiere el apoyo de la administración superior para un sistema de administración de seguridad de la información (SGSI) en toda la organización, por lo que puede ser una tarea importante si usted es una organización grande o geográficamente dispersa, por ejemplo. Todo se trata de un marco y procesos de gestión, y la forma en que lo implementes dependerá de lo que estás intentando lograr exactamente. En pocas palabras, es un estándar de gestión de riesgos empresariales centrado en la preservación de la confidencialidad, integridad y disponibilidad de información empresarial.

Si actualmente no hay nadie en la empresa que entienda este estándar o "sistemas de gestión" en general, le sugiero encarecidamente que me ayude o, al menos, vaya a un curso de capacitación.

Probablemente los mejores cursos de capacitación que conozco son los que ofrece BSI. Ofrecen varios cursos, pero le sugiero que primero asista a una "Introducción" de 1 día y haga un seguimiento con los cursos de "Implementación" o "Implementador principal". Los cursos de implementación lo llevarán a través de los pasos principales de un proyecto típico.

También están las certificaciones PECB, pero en mi opinión, estos cursos son en su mayoría diapositivas (teoría - ronquidos) con un poco de interacción, mientras que los cursos BSI son muy interactivos y prácticos. Revelación completa: he impartido capacitación tanto para PECB como para BSI.

Si está contratando a un consultor, busque estas calificaciones junto con la calificación de Auditor Líder ISO / IEC 27001. También mira el CV del consultor. Esto no es un estándar de TI o técnico y los consultores que solo miran las cosas desde esta perspectiva a menudo no lo "entienden". Busque alguna experiencia amplia en otras áreas de la seguridad, como la seguridad física, y la experiencia en general con 'sistemas de gestión', 'gestión de riesgos' y disciplinas relacionadas con el negocio.

Cosas a tener en cuenta: 27001 no es un estándar técnico y normalmente es algo malo si intenta hacerlo solo en un entorno de TI solo (ISO / IEC 20000-1 sería apropiado si esa es la intención) . El registro / certificación en sí mismo es para la organización e incurrirá en costos de auditoría continuos (las auditorías son realizadas por organismos de auditoría externos).

Tenga en cuenta también que la versión 2005 del estándar ahora está obsoleta y la nueva versión es 2013. Esta es la versión que debería implementar y certificar (si se requiere certificación / registro).

Mi primera sugerencia, y la más barata, es que compre el estándar en ISO. org , descargue y lea el estándar. Desea consultar las cláusulas 4 a 10, que proporcionan todos los requisitos que debe cumplir.

COBIT e ISO / IEC 27001 vivirán juntos en perfecta armonía. No hay contradicción y tendrá beneficios de muchas maneras al implementar ambos, si se hace correctamente. ISO / IEC 27001 le brindará un gran paraguas, COBIT le brindará información específica relacionada con TI que se incluirá en ese paraguas.

¡Buena suerte!

    
respondido por el Lee 08.05.2014 - 10:02
fuente

Lea otras preguntas en las etiquetas

Medidas de seguridad para la información bancaria ¿Hacer pública la administración del firewall?