¿Cuál es un estándar de seguridad similar al de ISO 27001 con un mayor enfoque en la seguridad de TI? [cerrado]

ISO27k trata sobre la 'gestión de la seguridad', no sobre la seguridad en sí misma. Los auditores estarán preocupados por lo que está haciendo para responder a los riesgos que ha identificado, si realmente está haciendo lo que está diciendo, qué hace cuando algo se desvía de lo que se ha especificado o hacia nuevos riesgos, y cómo lo hace. Evalúa la eficiencia de tus medidas.

Básicamente, no les importa lo que esté haciendo para detener los ataques de ddos (si este es uno de los riesgos a los que está expuesto), siempre y cuando esté haciendo algo, y se considere lo suficientemente eficiente como para indicador.

ISO27k nunca dirá "esta entidad está protegida", pero "esta entidad administra bien su seguridad".

Realmente no estás buscando alternativas a ISO27k, sino algo completamente diferente. Hay muchos estándares que puede cumplir dependiendo de cuál sea su negocio.

PCI-DSS viene a la mente porque está más centrado en las medidas prácticas. Ver enlace para obtener una descripción general y algunos enlaces.

Calificaría esa sugerencia al mencionar que consideraría el PCI-DSS como un buen marco para usar como una lista de verificación de las cosas que debería pensar acerca de implementar. No tengo experiencia con la certificación PCI-DSS, y no sé si se aplicaría o sería deseable en su situación.

Si la certificación es un requisito / deseo, no estoy completamente seguro de que me centraría en PCI-DSS.

Como lo menciona @ Purefan , centrarse en la gestión de vulnerabilidades también es un buen área.

Parte de una seguridad completa es la seguridad organizacional (tener políticas, procesos y procedimientos documentados reduce el factor del bus) y la capacidad de auditoría (poder mostrar evidencia de que las medidas de seguridad funcionan según lo previsto). La seguridad que solo se enfoca en la seguridad técnica, pero ignora los procedimientos no son ejercicios de seguridad completos.

ISO 2700x en sí mismo no le dice qué medidas de seguridad debe tomar porque cada organización tiene necesidades y requisitos únicos, mientras que las técnicas de mitigación evolucionan constantemente. El marco ISO 2700x está destinado a guiar a una organización para determinar sus requisitos de seguridad, su apetito por el riesgo, y luego desarrollar un plan de seguridad que sea consistente con el requisito de seguridad y el apetito por el riesgo establecidos.

Ser compatible con ISO 2700x no significa que haya implementado buenas medidas de seguridad. Todo lo que el cumplimiento de la norma ISO 2700x le dice es que la organización ha tomado una decisión consciente e informada sobre qué medidas tomar o no tomar para satisfacer sus propios requisitos. Una organización que cumple con la norma ISO 2700x aún puede ser la compañía más insegura, si en las autoevaluaciones la organización decide aceptar grandes riesgos y decide no implementar controles.

Si está buscando pautas de seguridad más técnicas, probablemente desee consultar las publicaciones del proyecto OWASP. Si maneja una tarjeta de crédito, querrá mirar en PCI-DSS. También querría evaluar los requisitos de seguridad de sus leyes locales y las leyes extranjeras o los organismos estándar de la industria con los que espera tratar. Es posible que tengan requisitos relacionados con el mantenimiento de registros, el manejo de la PII, etc., que tendría que cumplir y, a veces, requieren técnicas de mitigación específicas que debe implementar. También querrás estar al día con los blogs y revistas de seguridad. También querría jugar con herramientas automatizadas de pruebas de penetración y hacer amigos con pentesters.

Tenga en cuenta que estas guías de seguridad no son una evaluación de seguridad organizacional completa. Esas guías técnicas complementan la norma ISO 2700x, no la reemplazan.

Hay un muy buen trabajo de BSI, llamado "BSI 100-1" Mira aquí .

Está desarrollado por la Oficina Federal Alemana para la Seguridad de la Información.