ISO/IEC 27008 Controles de seguridad de información
ISO 27008
ISO 27008 es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.
Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información.
ISO27008 soporta tanto la planificación como la ejecución del SGSI y el proceso de gestión del riesgo del sistema de la organización.
Por otro lado, supone un valor añadido y una mejora de la calidad de las normas de la serie ISO 27000.
Mejora las auditorias del SGSI a través de la optimización de la relaciones entre los procesos del Sistema de Gestión de Seguridad de la Información y los controles necesarios para los mismos. Además garantiza un uso eficiente y efectivo de los recursos de la auditoría.
Mientras que ISO 27007 se focaliza en la auditoría de todos los elementos del SGSI, según lo describe ISO 27001, ISO-27008 se dirige a la comprobación de los controles de seguridad de la información.
La norma incluye la comprobación de la conformidad técnica frente a un estándar de implementación de seguridad de la información establecido en la empresa. No busca suministrar orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del SGSI.
Los controles técnicos de los que hablamos no se definen explícitamente en la norma, son los conocidos como controles de seguridad de TI, que no son sino un subconjunto de los controles de seguridad de la información descritos en la norma ISO 27001 e ISO 27002.
Estos controles que trae ISO 27008 ayudarán a la organización a:
- Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en marcha de los controles de seguridad de la información, normas de seguridad de la información y controles de la información técnica.
- Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de seguridad de la información.
- Planificar actividades de mitigación de riesgos de seguridad de la información.
- Confirmar que las deficiencias de seguridad de información emergentes se han abordado de forma adecuad.
La Plataforma Tecnológica ISOTools ayuda a la implementación y seguimiento de los sistemas de gestión, facilitando el trabajo a las organizaciones.