El Estándar de Buenas Prácticas para la Seguridad de la Información ( SOGP ), publicado por el Foro de Seguridad de la Información (ISF), es una guía práctica, integral y centrada en los negocios para identificar y gestionar los riesgos de seguridad de la información en las organizaciones y sus cadenas de suministro. [1]
La edición más reciente es la de 2024, [2] una actualización de la edición de 2022. La edición de 2024 es la primera que tendrá actualizaciones incrementales a través del sitio web de ISF Live, antes de su actualización bienal prevista para 2026.
Tras su publicación, la Norma 2011 fue la actualización más importante de la norma en cuatro años. Abarca temas de actualidad en materia de seguridad de la información, como dispositivos de consumo, infraestructuras críticas, ataques cibernéticos, equipos de oficina, hojas de cálculo y bases de datos y computación en la nube.
La Norma está alineada con los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) establecidos en las normas de la serie ISO/IEC 27000 , y proporciona una cobertura más amplia y profunda de los temas de control de la ISO/IEC 27002 , así como de la computación en la nube, la fuga de información, los dispositivos de consumo y la gobernanza de la seguridad.
Además de proporcionar una herramienta para permitir la certificación ISO 27001, el Estándar proporciona matrices de alineación con otros estándares y legislaciones relevantes como PCI DSS y el Marco de Seguridad Cibernética del NIST, para permitir también el cumplimiento de estos estándares.
El Estándar es utilizado por directores de seguridad de la información (CISO), gerentes de seguridad de la información, gerentes comerciales, gerentes de TI, auditores internos y externos y proveedores de servicios de TI en organizaciones de todos los tamaños.
La Norma está disponible de forma gratuita para los miembros de la ISF. Los no miembros pueden comprar una copia de la Norma directamente a la ISF.
Históricamente, la Norma se ha organizado en seis categorías o aspectos . Las Instalaciones y Redes de Computadoras abordan la infraestructura de TI subyacente en la que se ejecutan las Aplicaciones Empresariales Críticas . El Entorno del Usuario Final cubre los acuerdos asociados con la protección de las aplicaciones corporativas y de estaciones de trabajo en el punto final que utilizan las personas. El Desarrollo de Sistemas se ocupa de cómo se crean nuevas aplicaciones y sistemas, y la Gestión de Seguridad aborda la dirección y el control de alto nivel.
La Norma se publica ahora principalmente en un formato "modular" simple que elimina la redundancia. Por ejemplo, se han consolidado las distintas secciones dedicadas a la auditoría y revisión de la seguridad.
Los seis aspectos de la Norma se componen de una serie de áreas , cada una de las cuales cubre un tema específico. Cada área se divide en secciones , cada una de las cuales contiene especificaciones detalladas de las mejores prácticas de seguridad de la información . Cada enunciado tiene una referencia única. Por ejemplo, SM41.2 indica que una especificación se encuentra en el aspecto de Gestión de la seguridad, área 4, sección 1, y figura como especificación n.º 2 dentro de esa sección.
La parte de Principios y Objetivos del Estándar proporciona una versión de alto nivel del Estándar, al reunir solo los principios (que brindan una descripción general de lo que se debe realizar para cumplir con el Estándar) y los objetivos (que describen el motivo por el cual estas acciones son necesarias) para cada sección.
La Norma publicada también incluye una extensa matriz de temas, índice, material introductorio, información de fondo, sugerencias para la implementación y otra información.
Consulte Categoría:Seguridad informática para obtener una lista de todos los artículos relacionados con la informática y la seguridad de la información .
Conozca todo sobre las Normas ISO 27000