Normas y métodos

Lista de estándares cubiertos por nuestro programa de formatión

  • ISO/IEC 27001: Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos
  • ISO/IEC 27002: Tecnología de la información – Técnicas de seguridad – Código de buenas prácticas para la gestión de la seguridad de la información
  • ISO/IEC 27005: Tecnología de la información – Técnicas de seguridad – Gestión del riesgo de la seguridad de la información (SI)  
  • ISO/IEC 27034: Tecnología de la información – Técnicas de seguridad – Seguridad de la aplicación (AS)
  • ISO 31000: Gestión del riesgo – Lineamientos
  • ISO 37001: Sistemas de gestión anticorrupción: requisitos y recomendaciones para la implementación
  • Mehari: Metodología integrada y exhaustiva de evaluación y gestión de riesgos asociada a la información y sus tratamientos

 

Descripción de estándares y listas de cursos relacionados ofrecidos por la Academia Cogentas

 

Norma ISO/IEC 27001

Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos

ISO/IEC 27001 especifica los requisitos para:

  • el establecimiento,
  • Implementación,
  • la actualización, y
  • mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI) en el contexto de una organización.

También incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información, adaptados a las necesidades de la organización.

Los requisitos de ISO/IEC 27001 son genéricos y están destinados a aplicarse a cualquier organización, independientemente de su tipo, tamaño y naturaleza. No es aceptable que una organización renuncie a ninguno de los requisitos especificados en los Artículos 4 a 10 cuando declara el cumplimiento con ISO/IEC 27001.

Formación ofrecida

  • ISO/IEC 27001 Introduction (I)
  • ISO/IEC 27001 Foundation (F)
  • ISO/IEC 27001 Lead Auditor (LA)
  • ISO/IEC 27001 Lead Implementer (LI)

Fuente: ISO – Organización Internacional de Normalización

 

Norma ISO/IEC 27002

Tecnología de la información – Técnicas de seguridad – Código de buenas prácticas para la gestión de la seguridad de la información

ISO 27002 proporciona orientación sobre estándares organizacionales para:

  • seguridad de la información,
  • buenas prácticas de gestión de la seguridad de la información, que incluyen:
    • la selección, implementación y gestión de las medidas de seguridad;
    • teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.

ISO 27002 está desarrollado para organizaciones interesadas en:

  • seleccione las medidas necesarias como parte del proceso de implementación de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con ISO/IEC 27001;
  • implementar medidas de seguridad de la información ampliamente aceptadas; y
  • desarrollar sus propias pautas de gestión de seguridad de la información.

Formación ofrecida

  • ISO/IEC 27002 Introduction (I)
  • ISO/IEC 27002 Foundation (F)
  • ISO/IEC 27002 Lead Implementer (LI)
  • ISO/IEC 27002 Lead Manager (LM)
  • ISO/IEC 27002 Manager

Fuente: ISO – Organización Internacional de Normalización

 

Norma ISO/IEC 27005  

Tecnología de la información – Técnicas de seguridad – Gestión de riesgos de seguridad de la información (SI)

ISO/IEC 27005 contiene pautas para la gestión de riesgos de seguridad de la información.

  • es compatible con los conceptos generales de ISO/IEC 27001;
  • está diseñado para ayudar a configurar el IS basándose en un enfoque de gestión de riesgos;
  • el conocimiento de los conceptos, modelos, procesos y terminologías descritos en ISO/IEC 27001 e ISO/IEC 27002 proporciona una buena comprensión del alcance de esta norma;
  • ISO/IEC 27005 es aplicable a todo tipo de organizaciones, tales como:
    • empresas comerciales,
    • agencias gubernamentales,
    • organizaciones sin fines de lucro.

Formación ofrecida

  • ISO/IEC 27005 Introduction (I)
  • ISO/IEC 27005 Foundation (F)
  • ISO/IEC 27005 Risk Manager (RM)

Fuente: ISO – Organización Internacional de Normalización

 

Serie de normas ISO/IEC 27034

Tecnología de la información – Técnicas de seguridad – Seguridad de aplicaciones (SA)

Una aplicación o sistema informático (sistema de TI) incluye el software y sus datos. Las aplicaciones se pueden utilizar en muchos contextos y para muchos propósitos. Las personas que desarrollan, proporcionan, adquieren o usan una aplicación pueden vivir en Canadá, China o Europa. En todos los casos, la aplicación debe cumplir con las leyes y regulaciones vigentes en los países donde se implementa y usa.

En este contexto, es fundamental que las organizaciones puedan gestionar los riesgos de seguridad en el nivel de la aplicación. La serie de normas ISO/IEC 27034 proporciona marcos de referencia de seguridad de aplicaciones (SA) que se basan en un enfoque de gestión de riesgos; el último permite la implementación y verificación de los controles de seguridad de las aplicaciones que son medibles y cuya evidencia de efectividad se puede demostrar. La serie de normas ISO / IEC 27034 consta de 8 partes:

  • Parte 1: Resumen y conceptos
  • Parte 2: Marco normativo de la organización
  • Parte 3: Proceso de gestión de seguridad de la aplicación
  • Parte 4: Validación y verificación de la seguridad de la aplicación
  • Parte 5: Protocolos y estructura de datos de los controles de seguridad de las aplicaciones
  • Parte 5-1: Protocolos y estructura de datos de los controles de seguridad de las aplicaciones: esquema XML
  • Parte 6: Estudios de caso
  • Parte 7: Marco de seguro de predicción

ISO / IEC 27034 proporciona principios y conceptos específicos para la seguridad de la aplicación:

  • un mecanismo de implementación paso a paso de SA para ayudar a las organizaciones a comprender cómo desarrollar, adquirir, implementar, usar y mantener aplicaciones a un nivel de confianza previamente apuntado por la organización en un costo aceptable;
  • componentes y procesos que pueden proporcionar evidencia verificable del logro y mantenimiento de los requisitos de SA en el nivel de confianza objetivo;
  • implementando elementos del marco de trabajo 27034 e integrando controles de seguridad de aplicaciones (ASC) sin interrupciones a lo largo del ciclo de vida de la aplicacion;
  • una SA que se integra no solo con el software de una aplicación, sino también con todos los demás factores que afectan la seguridad, como:
    • el contexto tecnológico,
    • el contexto regulatorio,
    • el contexto empresarial,
    • las especificaciones,
    • la sensibilidad de sus datos,
    • los procesos y actores involucrados a lo largo del ciclo de vida de la aplicación.
  • un marco normativo que se aplica a todos los tamaños y tipos de organizaciones expuestas a riesgos de seguridad que amenazan la información relacionada con sus aplicaciones. No solo las grandes empresas, las agencias gubernamentales u organizaciones sin fines de lucro utilizan las aplicaciones, sino también las grandes, medianas y pequeñas empresas que desarrollan software, aplicaciones y servicios empresariales.

Formación ofrecida

  • ISO/IEC 27034 Introduction (I)
  • ISO/IEC 27034 Foundation (F)
  • ISO/IEC 27034 Lead Auditor (LA)
  • ISO/IEC 27034 Lead Implementer (LI)

Fuentes: Cogentas e ISO – Organización Internacional de Normalización

 

Norma ISO 31000

Gestión de riesgos – Directrices

ISO 31000 proporciona:

  • directrices sobre gestión de riesgos que enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y su contexto;
  • un enfoque genérico para gestionar cualquier forma de riesgo y no es específico de una industria o sector.

ISO 31000 puede ser:

  • utilizado durante toda la vida del cuerpo.
  • se aplica a todas las actividades, incluida la toma de decisiones, en todos los niveles.

Formación ofrecida

  • ISO 31000 Introduction (I)
  • ISO 31000 Foundation (F)
  • ISO 31000 Lead Risk Manager (LRM)
  • ISO 31000 Risk Manager (RM)

Fuente: ISO – Organización Internacional de Normalización

 

Norma ISO 37001  

Sistemas de gestión anticorrupción – Requisitos y recomendaciones para su implementación

La corrupción es uno de los flagelos más dañinos y difíciles a escala mundial. Con más de $ 1 billón en sobornos pagados cada año *, las consecuencias de la corrupción son desastrosas, con una calidad de vida reducida, una mayor pobreza y una menor confianza pública.

A pesar de los esfuerzos a nivel nacional e internacional para combatir este flagelo, la corrupción sigue siendo un tema central.

La norma ISO 37001 define los requisitos y proporciona recomendaciones para el establecimiento, implementación, mantenimiento, revisión y mejora de un sistema de gestión anticorrupción. El sistema puede ser autónomo o integrado en un sistema de gestión global. ISO 37001 cubre los siguientes aspectos de las actividades de la organización:

  • corrupción en los sectores público, privado y sin ánimo de lucro;
  • corrupción por parte de la organización;
  • corrupción por parte del personal de la agencia que actúe en nombre de la organización o en su interés;
  • corrupción por parte de los socios comerciales de la organización que actúen en nombre de la organización o en su interés;
  • corrupción del cuerpo;
  • corrupción del personal de la organización en las actividades de la organización;
  • corrupción de los socios comerciales de la organización en las actividades de la organización;
  • soborno directo e indirecto (por ejemplo, un soborno ofrecido o aceptado por un tercero).

ISO 37001 solo es aplicable a la corrupción. Define los requisitos y proporciona recomendaciones para los sistemas de gestión diseñados para ayudar a las organizaciones a prevenir, detectar y luchar contra la corrupción, y para cumplir con las leyes contra la corrupción y sus compromisos voluntarios aplicables a sus actividades.

ISO 37001 no aborda específicamente el fraude, los cárteles y otros delitos antimonopolio / de competencia, el lavado de dinero u otras actividades fraudulentas, aunque la organización puede optar por ampliar el alcance. Sistema de gestión para incluir dichas actividades.

Los requisitos de este documento son genéricos y pretenden aplicarse a todas las organizaciones (o partes de organizaciones), independientemente del tipo, tamaño y naturaleza de la actividad, ya sea que operen en el sector público. Privado o sin fines de lucro. El alcance de la aplicación de estos requisitos depende de los factores descritos en 4.1, 4.2 y 4.5.

* Fuente : OCDE

Formación ofrecida

  • ISO 37001 Introduction (I)

Fuente: ISO – Organización Internacional de Normalización

 

Metodología Mehari

Evaluación integrada y exhaustiva de riesgos y metodología de gestión asociada a la información y sus tratamientos.

Diseñado en 1996 por CLUSIF, y actualizado por la asociación desde entonces, este método ahora es desarrollado y distribuido por el CLUSIQ (Club de la seguridad de la información de Quebec) con el cual CLUSIF estableció una asociación en 2015. El Los métodos que se están difundiendo actualmente son los siguientes:

  • el método MEHARI cumple con las pautas establecidas por la norma ISO 27005: 2009 y permite la integración en un enfoque completo que también se puede utilizar en el marco de un Sistema de gestión de seguridad de la información (ISO 27001: 2005) gracias a su capacidad para involucrar y sensibilizar a la Administración de la entidad como los gerentes operativos;
  • el método MEHARI puede llevarse a cabo de acuerdo con varios enfoques, basados en el mismo modelo de riesgo, integrando la evaluación de los problemas comerciales, las amenazas y las vulnerabilidades asociadas a los activos en situaciones de riesgo;
  • el nivel de severidad de los escenarios de riesgo se determina a partir de los niveles de potencial e impacto, y la estructura del método permite la selección de las medidas de seguridad que pueden manejar (reducir su nivel) cada riesgo en el mejor de sus recursos. organización.

Formación ofrecida

  • MEHARI Risk Manager (RM)

Fuente: CLUSIF