Me gustaría aplicar las mejores prácticas de ISO 27001 para una compañía que aún no ha completado su arquitectura en línea final y todavía está en fase de desarrollo. Sin embargo, casi saben qué tecnologías / sistemas (principalmente en la nube) se deben utilizar, pero las conexiones entre varias partes no están finalizadas, así como varias implementaciones relacionadas con la seguridad como WAF, etc. Solo para notar que todo está en la nube alojado por un proveedor de nube. que ya cuenta con la certificación ISO27001 para todos los servicios que proporciona.
La pregunta es si está bien aplicar una metodología de riesgo basada en vulnerabilidades de amenazas de activos y completar los documentos requeridos según lo sugieren varios kits de herramientas ISO27001. Esta metodología sigue siendo válida para la norma ISO 27001 y es de aplicación directa, pero obviamente, será totalmente cualitativa, en el sentido de que no se pueden aplicar pruebas de penetración para descubrir posibles vulnerabilidades técnicas y el desarrollo no es definitivo para realizar el código. Revisiones Además, esta metodología de riesgo se basa en el inventario de activos que experimenta cambios diarios.
¿Se puede proceder de esta manera para obtener la certificación ISO para obtener una instantánea del inventario de activos existentes que incluye muchos de los activos implementados?