ISO27000
Páginas: 7 (1603 palabras)
Publicado: 24 de enero de 2014
Implicaciones financieras de la implantación de
ISO/IEC 27001 & 27002:
modelo genérico de coste-beneficio
Gary Hinson, IsecT Ltd., 15th January 2008
Traducido por: iso27000.es
Resumen Ejecutivo
Beneficios
•
•
•
•
•
Reduce los riesgos de seguridad de la información.
Reduce la probabilidad y el impacto de los incidentes
de seguridad
La certificación de un estándarinternacional.
Ventajas de marketing, etc.
Enfoque coherente, estructurado. Evaluación integral
de riesgos
Focaliza el gasto en seguridad de la información
donde produce mayor ventaja.
Gobernanza demostrable
Costes
•
•
•
•
•
Copyright © 2008 IsecT Ltd.
Gestión de proyectos, recursos del proyecto
El cambio organizacional requiere recursos de la
organización
Diseño, desarrollo, pruebas,implementación
Certificación y visitas de seguimiento
Operación y mantenimiento en curso
Page 1 of 4
Introducción
Las organizaciones que intentan adoptar la norma ISO/IEC 27002 (estándar internacional de código de
buenas prácticas para la gestión de seguridad de la información) e ISO/IEC 27001 (estándar para la
certificación del sistema de gestión de seguridad de la información) suelenorganizar el trabajo asociado
como un proyecto de implementación. Este modelo financiero genérico descrito en este documento explica
las consecuencias financieras de la aplicación de las normas ISO/IEC 27001 y 27002 como un conjunto de
beneficios típicos y categorías de los costes. El modelo puede ser utilizado tanto como base para justificar el
proyecto a la alta dirección como un caso denegocio, como para marco para medir y optimizar el valor neto
de la inversión a largo plazo.
Beneficios
Reduce los riesgos de seguridad de la información
•
Fortalece la seguridad de la información en el entorno actual al (re)hacer hincapié en los requisitos
de control de la seguridad de la información de negocio, actualización de las actuales políticas de
seguridad de la información,controles, etc. y proporcionar estímulo para revisar y actualizar
periódicamente los controles de seguridad de la información - reducción del riesgo.
•
De manera integral y exhaustiva reduce la probabilidad de amenazas a la información de seguridad
o vulnerabilidades no reconocidas - reducción del riesgo.
•
Enfoque de gestión de riesgos profesional, normalizado y racional que aportaconsistencia a través
de múltiples (todos!) sistemas en el tiempo, y aborda los riesgos de seguridad de la información de
forma consistente (el enfoque basado en el riesgo se centra en las áreas de mayor riesgo) reducción del riesgo
•
Aumenta la capacidad de transferir los riesgos de manera selectiva a las aseguradoras y permite la
negociación para reducir las primas de seguros mediante loscontroles que se implementan ahorro de costes
•
Administradores y personal estarán cada vez más familiarizados con los términos y los controles de
seguridad de la información - reducción del riesgo
Beneficios de la estandarización
•
Proporciona un "denominador común": una sólida base sobre la que construir controles adicionales
específicos del sistema según sea apropiado sin tener querevisar constantemente los controles
básicos - ahorro de costes
•
Evita la necesidad de especificar, aplicar y revisar por separado los requisitos básicos de referencia
para el control y los controles en cada sistema - ahorro de costes
•
Es de aplicación general y por tanto, directamente reutilizable a través de diversos departamentos,
funciones y organizaciones sin cambiosrelevantes - ahorro de costes
•
Permite a la organización concentrar sus esfuerzos y recursos en identificar y satisfacer requisitos
por encima de los básicos de control - ahorro de costes
•
Generalmente aceptadas y bien establecidas (BS 7799
ISO/IEC 17799
un incremento en la concienciación y aceptación a nivel mundial
•
Buenas prácticas reconocidas y aceptadas en seguridad de la...
ISO/IEC 27001 & 27002:
modelo genérico de coste-beneficio
Gary Hinson, IsecT Ltd., 15th January 2008
Traducido por: iso27000.es
Resumen Ejecutivo
Beneficios
•
•
•
•
•
Reduce los riesgos de seguridad de la información.
Reduce la probabilidad y el impacto de los incidentes
de seguridad
La certificación de un estándarinternacional.
Ventajas de marketing, etc.
Enfoque coherente, estructurado. Evaluación integral
de riesgos
Focaliza el gasto en seguridad de la información
donde produce mayor ventaja.
Gobernanza demostrable
Costes
•
•
•
•
•
Copyright © 2008 IsecT Ltd.
Gestión de proyectos, recursos del proyecto
El cambio organizacional requiere recursos de la
organización
Diseño, desarrollo, pruebas,implementación
Certificación y visitas de seguimiento
Operación y mantenimiento en curso
Page 1 of 4
Introducción
Las organizaciones que intentan adoptar la norma ISO/IEC 27002 (estándar internacional de código de
buenas prácticas para la gestión de seguridad de la información) e ISO/IEC 27001 (estándar para la
certificación del sistema de gestión de seguridad de la información) suelenorganizar el trabajo asociado
como un proyecto de implementación. Este modelo financiero genérico descrito en este documento explica
las consecuencias financieras de la aplicación de las normas ISO/IEC 27001 y 27002 como un conjunto de
beneficios típicos y categorías de los costes. El modelo puede ser utilizado tanto como base para justificar el
proyecto a la alta dirección como un caso denegocio, como para marco para medir y optimizar el valor neto
de la inversión a largo plazo.
Beneficios
Reduce los riesgos de seguridad de la información
•
Fortalece la seguridad de la información en el entorno actual al (re)hacer hincapié en los requisitos
de control de la seguridad de la información de negocio, actualización de las actuales políticas de
seguridad de la información,controles, etc. y proporcionar estímulo para revisar y actualizar
periódicamente los controles de seguridad de la información - reducción del riesgo.
•
De manera integral y exhaustiva reduce la probabilidad de amenazas a la información de seguridad
o vulnerabilidades no reconocidas - reducción del riesgo.
•
Enfoque de gestión de riesgos profesional, normalizado y racional que aportaconsistencia a través
de múltiples (todos!) sistemas en el tiempo, y aborda los riesgos de seguridad de la información de
forma consistente (el enfoque basado en el riesgo se centra en las áreas de mayor riesgo) reducción del riesgo
•
Aumenta la capacidad de transferir los riesgos de manera selectiva a las aseguradoras y permite la
negociación para reducir las primas de seguros mediante loscontroles que se implementan ahorro de costes
•
Administradores y personal estarán cada vez más familiarizados con los términos y los controles de
seguridad de la información - reducción del riesgo
Beneficios de la estandarización
•
Proporciona un "denominador común": una sólida base sobre la que construir controles adicionales
específicos del sistema según sea apropiado sin tener querevisar constantemente los controles
básicos - ahorro de costes
•
Evita la necesidad de especificar, aplicar y revisar por separado los requisitos básicos de referencia
para el control y los controles en cada sistema - ahorro de costes
•
Es de aplicación general y por tanto, directamente reutilizable a través de diversos departamentos,
funciones y organizaciones sin cambiosrelevantes - ahorro de costes
•
Permite a la organización concentrar sus esfuerzos y recursos en identificar y satisfacer requisitos
por encima de los básicos de control - ahorro de costes
•
Generalmente aceptadas y bien establecidas (BS 7799
ISO/IEC 17799
un incremento en la concienciación y aceptación a nivel mundial
•
Buenas prácticas reconocidas y aceptadas en seguridad de la...
Leer documento completo
Regístrate para leer el documento completo.