ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements

Esta norma especifica los requisitos para implantar, mantener y mejorar un sistema de gestión para protegerse, reducir la probabilidad de que se produzcan, prepararse, responder y recuperarse de las interrupciones cuando éstas se produzcan.

Los requisitos especificados en este documento son genéricos y pretenden ser aplicables a todas las organizaciones, o partes de ellas, independientemente del tipo, tamaño y naturaleza de la organización. El grado de aplicación de estos requisitos depende del entorno operativo de la organización y de su complejidad.

Entre la imprevisibilidad de las catástrofes naturales, las violaciones de la seguridad de la información y los incidentes de distinta naturaleza, la preparación puede hacer que cualquier organización destaque entre la multitud y prediga el futuro de su negocio.

ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management

Esta norma proporciona directrices para la gestión de riesgos de la seguridad de la información.

Apoya los conceptos generales especificados en ISO/IEC 27001 y está diseñado para ayudar a la implementación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 son importantes para una completa comprensión de este documento.

Esta norma es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin ánimo de lucro) que pretendan gestionar los riesgos que puedan comprometer la seguridad de la información de la organización.

ISO 31000:2018 Risk management — Guidelines

La norma ISO 31000:2018 proporciona directrices sobre la gestión del riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto.

Proporciona un enfoque común para la gestión de cualquier tipo de riesgo y no es específica de una industria o sector.

La norma ISO 31000:2018 puede utilizarse durante toda la vida de la organización y puede aplicarse a cualquier actividad, incluida la toma de decisiones a todos los niveles.

La gestión de riesgos es hoy en día un componente crucial para cada organización, y su competencia y habilidades garantizarán que la organización cuente con un programa eficaz de gestión de riesgos basado en las mejores prácticas, lo que les permitirá gestionar los riesgos de forma eficaz para obtener buenos resultados en un entorno lleno de incertidumbres.

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

Esta norma está diseñada para organizaciones de todo tipo y tamaño. Debe utilizarse como referencia para determinar e implementar controles para el tratamiento de los riesgos de seguridad de la información en un sistema de gestión de la seguridad de la información (SGSI) basado en la norma ISO/IEC 27001.

Un control se define como una medida que modifica o mantiene el riesgo. Algunos de los controles de esta guía son controles que modifican el riesgo, mientras que otros lo mantienen. Una política de seguridad de la información, por ejemplo, sólo puede mantener el riesgo, mientras que el cumplimiento de la política de seguridad de la información puede modificar el riesgo.

Si bien la estructura general de la norma ISO 27002 ha cambiado mucho desde la versión anterior de 2013, la intención de la Guía sigue siendo la misma y ahora se centra aún más en el apoyo a la norma ISO 27001.

Capacitación a la Medida

En algunas ocasiones, las necesidades de capacitación de una organización no pueden circunscribirse a temarios preestablecidos para la capacitación formal, por lo tanto, la oferta de cursos de capacitación se complementa con los cursos diseñados especialmente a la medida de las necesidades de la organización, tomando en cuenta los temas identificados previamente por el cliente o a través de un estudio de determinación de necesidades de capacitación.

La entrega de los cursos puede hacerse en las instalaciones del cliente o en aulas de capacitación proporcionadas por terceros o en salones de cursos y reuniones en donde ofrecen el servicio.

Para algunos de los temas puede haber la posibilidad de examen de certificación la cual se presentaría como opcional en la propuesta de capacitación.