El Estándar de buenas prácticas para la seguridad de la información , publicado por el Foro de seguridad de la información (ISF), es una guía práctica, completa y centrada en el negocio para identificar y gestionar los riesgos de seguridad de la información en las organizaciones y sus cadenas de suministro.
La edición más reciente es 2020, una actualización de la edición 2018.
Tras su lanzamiento, el estándar 2011 fue la actualización más significativa del estándar durante cuatro años. Cubre 'temas candentes' de seguridad de la información, como dispositivos de consumo, infraestructura crítica, ataques de ciberdelito, equipos de oficina, hojas de cálculo y bases de datos y computación en la nube.
El estándar 2011 está alineado con los requisitos para un Sistema de gestión de seguridad de la información (SGSI) establecidos en los estándares de la serie ISO / IEC 27000 , y proporciona una cobertura más amplia y profunda de los temas de control de ISO / IEC 27002 , así como computación en la nube, fuga de información , dispositivos de consumo y gobernanza de la seguridad.
Además de proporcionar una herramienta para habilitar la certificación ISO 27001, la Norma 2011 proporciona una cobertura completa de los temas de COBIT v4 y ofrece una alineación sustancial con otras normas y leyes relevantes, como PCI DSS y la Ley Sarbanes Oxley , para permitir el cumplimiento de estas normas también. .
El Estándar es utilizado por los directores de seguridad de la información (CISO), gerentes de seguridad de la información, gerentes comerciales, gerentes de TI, auditores internos y externos, proveedores de servicios de TI en organizaciones de todos los tamaños.
El Estándar 2018 está disponible de forma gratuita para los miembros de la ISF. Los no miembros pueden comprar una copia del estándar directamente de la ISF.
Organización
Históricamente, el Estándar se ha organizado en seis categorías o aspectos . Las instalaciones y redes informáticas abordan la infraestructura de TI subyacente en la que se ejecutan las aplicaciones comerciales críticas . El entorno de usuario final cubre los arreglos asociados con la protección de aplicaciones corporativas y de estaciones de trabajo en el punto final que utilizan los individuos. El desarrollo de sistemas se ocupa de cómo se crean nuevas aplicaciones y sistemas, y la gestión de seguridad se ocupa de la dirección y el control de alto nivel.
El Estándar ahora se publica principalmente en un formato "modular" simple que elimina la redundancia. Por ejemplo, se han consolidado las distintas secciones dedicadas a la revisión y auditoría de seguridad.
Aspecto | Enfocar | Público objetivo | Problemas investigados | Alcance y cobertura |
---|---|---|---|---|
Gestión de seguridad (en toda la empresa) | Gestión de seguridad a nivel empresarial. | El público objetivo del aspecto SM normalmente incluirá:
| El compromiso proporcionado por la alta dirección para promover buenas prácticas de seguridad de la información en toda la empresa, junto con la asignación de los recursos adecuados. | Disposiciones de gestión de la seguridad dentro de:
|
Aplicaciones empresariales críticas | Una aplicación comercial que es fundamental para el éxito de la empresa. | El público objetivo del aspecto CB normalmente incluirá:
| Los requisitos de seguridad de la aplicación y los arreglos realizados para identificar los riesgos y mantenerlos dentro de niveles aceptables. | Aplicaciones comerciales críticas de cualquier:
|
Instalaciones informáticas | Una instalación de computadora que admite una o más aplicaciones comerciales. | El público objetivo del aspecto de CI generalmente incluirá:
| Cómo se identifican los requisitos para los servicios informáticos; y cómo se configuran y ejecutan las computadoras para cumplir con esos requisitos. | Instalaciones informáticas:
|
Redes | Una red que admita una o más aplicaciones comerciales. | El público objetivo del aspecto NO normalmente incluirá:
| Cómo se identifican los requisitos para los servicios de red; y cómo se configuran y ejecutan las redes para cumplir con esos requisitos. | Cualquier tipo de red de comunicaciones, incluyendo:
|
Desarrollo de sistemas | Una unidad o departamento de desarrollo de sistemas , o un proyecto de desarrollo de sistemas en particular. | La audiencia objetivo del aspecto SD generalmente incluirá
| Cómo se identifican los requisitos comerciales (incluidos los requisitos de seguridad de la información); y cómo se diseñan y construyen los sistemas para cumplir con esos requisitos. | Actividad de desarrollo de todo tipo, incluyendo:
|
Entorno del usuario final | Un entorno (por ejemplo, una unidad o departamento de negocios) en el que las personas utilizan aplicaciones comerciales corporativas o aplicaciones críticas de estaciones de trabajo para respaldar los procesos comerciales. | El público objetivo del aspecto UE generalmente incluirá:
| Los arreglos para la educación y concienciación de los usuarios ; uso de aplicaciones comerciales corporativas y aplicaciones críticas de estaciones de trabajo; y la protección de la información asociada con la informática móvil . | Entornos de usuario final:
|
Los seis aspectos de la Norma se componen de una serie de áreas , cada una de las cuales cubre un tema específico. Un área se divide en secciones , cada una de las cuales contiene especificaciones detalladas de las mejores prácticas de seguridad de la información . Cada declaración tiene una referencia única. Por ejemplo, SM41.2 indica que una especificación se encuentra en el aspecto Gestión de la seguridad, área 4, sección 1, y se enumera como la especificación # 2 dentro de esa sección.
La parte de Principios y Objetivos del Estándar proporciona una versión de alto nivel del Estándar, al reunir solo los principios (que brindan una descripción general de lo que se debe realizar para cumplir con el Estándar) y los objetivos (que describen la razón por la cual estas acciones son necesarios) para cada sección.
El Estándar publicado también incluye una amplia matriz de temas, índice, material introductorio, información de antecedentes, sugerencias para la implementación y otra información.
Ver también
Consulte Categoría: Seguridad informática para obtener una lista de todos los artículos relacionados con la seguridad informática y de la información .
- Estándares de seguridad cibernética
- Foro de seguridad de la información
- COBIT
- Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)
- ISO 17799
- ISO / IEC 27002
- ITIL
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
- Basilea III
- Cloud Security Alliance (CSA) para la seguridad informática en la nube