¿Qué marcos de referencia en seguridad existen hoy en día en Cloud?
Haciendo la siguiente investigación, encontramos estos… ¿falta alguno?

ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.

También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento; aquí se puede ver la cantidad de certificados en los últimos años
Fuente de información: advisera.com

ISO 27002

Cuando se habla sobre la seguridad de la información nos viene a la cabeza la norma ISO 27001. Esta norma es muy relevante dentro del sector ya que, toma como base todos los riesgos a los que se enfrenta la organización en su día a día, tiene como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización.
Fuente de información: pmg-ssi.com

ISO 27003

Estándar internacional que constituye una guía para la implantación de un SGSI (Sistema de Gestión de Seguridad de la Información), se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.

Para la atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.
Fuente de información: pmg-ssi.com

ISO 27004

La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los resultados de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001.

Este estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a medir, cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos relacionados con el rendimiento y los criterios de éxito.
Fuente de información: isotools.cl

ISO 27005

Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización.
Fuente de información: pmg-ssi.com

ISO 27006

El estándar normativo ISO 27006 se trata de una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar Sistemas de Gestión de Seguridad de la Información. Los procedimientos que se describen en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.

ISO 27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Concretamente se encarga de especificar los requisitos y suministrar una especie de manual para llevar a cabo la auditoría y la certificación del sistema.
Fuente de información: isotools.org

ISO 27007

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de Seguridad de la Información.
Fuente de información: pmg-ssi.com

ISO 27008

Es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.

Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información.
Fuente de información: pmg-ssi.com

ISO 27009

Nueva norma para satisfacer las necesidades específicas de Seguridad de la Información, para reforzar la protección de sectores industriales complejos, como salud, finanzas y transporte, la Organización ISO ha publicado ISO/IEC 27009 de Tecnología de la Información – Técnicas de seguridad – Aplicación específica de ISO/IEC 27001 para cada sector – Requisitos.

De esta forma se complementa el marco ya existente con normas específicas tales como ISO/IEC 27011 (telecomunicaciones), ISO/IEC 27017 (cloud computing) o ISO/IEC 27032 (Seguridad Cibernética), para minimizar el riesgo de duplicación.
Fuente de información: pmg-ssi.com

ISO 27010

Suministra orientación relacionada con el intercambio de información relativa a los riesgos de seguridad de la información, controles, problemas e incidencias que puedan ocurrir en las organizaciones.

Aporta orientación sobre del funcionamiento interno de la empresa, seguridad y comunicación entre el propio sector, entre sectores y con los gobiernos. Con esto se consigue proteger la infraestructura crítica, reconocer las circunstancias normales para satisfacer los requisitos jurídicos, reglamentarios y otras obligaciones contractuales.
Fuente de información: pmg-ssi.com

Y seguiría la lista de los ISO’s…

FedRAMP

El Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) es un programa del gobierno de EE.UU. que ofrece un enfoque estandarizado para la monitorización continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube.

Entre las entidades gubernamentales que conforman el FedRAMP, figuran la Oficina de Administración y Presupuestos (OMB), la Administración de Servicios Generales (GSA) estadounidense, el Departamento de Seguridad Interna (DHS) estadounidense, el Departamento de Defensa (DoD) estadounidense, el Instituto Nacional de Normal y Tecnología (NIST) y el Consejo Federal de Directores de Información (CIO).
Fuente de información: fedramp.gov

Zero Trust

Zero Trust es un modelo de seguridad de red basado en un proceso estricto de verificación de identidad. Este marco de seguridad impone que solo los usuarios y dispositivos autenticados y autorizados puedan acceder a las aplicaciones y a los datos. Al mismo tiempo, protege esas aplicaciones y usuarios frente a amenazas avanzadas de Internet.

Zero Trust es un concepto de seguridad centrado en la creencia de que las organizaciones no deben confiar automáticamente en nada dentro o fuera de sus perímetros y en su lugar deben verificar todo lo que intente conectarse a sus sistemas antes de otorgar acceso.
Fuente de información: akamai.com and cso.computerworld.es

Síguenos en las redes sociales para obtener actualizaciones periódicas y opiniones sobre lo que está sucediendo en el mundo de Project Manager, PMO, Scrum, Agile, Lean, Cloud, y mas…
Busca iPMOGuide en Facebook | Twitter | LinkedIn | Pinterest

¿Tienes Telegram instalado?
Recibe este Post en nuestro canal, en tu móvil ó tablet.

Nos leemos pronto, ¡un abrazo!