top of page

ISO 27001

 

 

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC1 . Dicha norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.1

Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre los cuales se encuentran:

  1. Objeto y campo de aplicación: Especifica la finalidad de la norma y su uso dentro de una organización.

  2. Referencias normativas

  3. Término y definiciones: Los términos y definiciones usados se basan en la norma ISO/IEC 27000.

  4. Contexto de la organización: Se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información. Adicional a esto, se debe determinar el alcance.

  5. Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas, asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización, así como los recursos necesarios para su implementación y operabilidad.

  6. Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicional mente se debe dar un tratamiento a los riesgos de la seguridad de la información. Los objetivos y los planes para logar dichos objetivos también se deben definir en este punto.

  7. Soporte: Se trata sobre los recursos destinados por la organización, la competencia de personal, la toma de conciencia por parte de las partes interesadas, la importancia sobre la comunicación en la organización. La importancia de la información documentada, también se trata en este punto.

  8. Operación: El como se debe planificar y controlar la operación, así como la valoración de los riesgos y su tratamiento.

  9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento, medición, análisis y evaluación del sistema de gestión de la información.

  10. Mejora: Habla sobre el tratamiento de las no conformidades, las acciones correctivas y a mejora continua.

La segunda parte, esta conformada por el anexo A, el cual establece los objetivos de control y los controles de referencia.

NAGAS

La Norma de Auditoría Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

 Las  Normas de Auditoría Generalmente Aceptadas están constituidas por un grupo  de 10 normas adoptadas por el American Institute Of Certified Public Accountants y  que obliga a sus miembros, su finalidad es garantizar la calidad de los auditores.

 

Las normas tienen que ver con la calidad de la auditoría realizada por el auditor independiente. Los socios del AICPA han aprobado y adoptado diez normas de auditoría generalmente aceptadas (NAGA), que se dividen en tres grupos:

1. Normas generales,

2. Normas de la ejecución del trabajo y

3. Normas de información.

ITIL

es un conjunto de conceptos y buenas prácticas usadas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI

COBIT

Su sigla en ingles se refiere a Control Objectives for Information and Related Technology y es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobitpermite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan. Cobitpermite entender como dirigir y gestionar el uso de tales sistemas así como establecer un codigo de buenas practicas a ser utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT. 

 


ISACA

ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo.

bottom of page