www.iso15504.es

Hola,

Me llamo José y estoy empezando en esto de la seguridad informática, he oído bastante sobre la ISO 27001 como norma para la mejora de la seguridad en los sistemas de las empresas, y últimamente me han hablado sobre la guía OWASP, que diferencias hay entre ambas, cual créis que es mejor?

gracias y saludos desde Logroño!

Hola José, me alegro de que nos hagas esa pregunta, ya que es una duda que tiene mucha gente, y es la diferencia entre Norma y Guía de Buenas Prácticas. La norma ISO/IEC 27001 forma parte de la serie 27000, con esta serie se pretende poseer un marco común con las definiciones sobre lo que se considera como sistema seguro y que se debe hacer para llevar a cabo la securización del mismo. La diferencia entre la norma ISOIEC 27001 y la OWASP es que la primera es una norma internacional, y la segunda es una guía de buenas prácticas.

Ahora sí, respondiento a tu pregunta, no se puede decir que una sea mejor que otra ya que no son comparables, ambas son necesarias y recomendables para la securización de un sistema. Metiendonos mas en profundidad en el tema, la norma ISO/IEC 27001 se centra en temas como que para que un servidor de una empresa sea seguro debe poseer una política de backup, deben realizarse auditorías de seguridad cada x tiempo para analizar vulnerabilidades o que el servidor debe estar protegido ante accesos físicos de una determinada manera, es decir, se mantiene a un alto nivel de abstracción, pero definiendo todos los aspectos que se deben tener en cuenta para mantener un sistema seguro. La guía OWASP por el contrario baja a nivel técnico, es decir, nos dirá por ejemplo como deberemos realizar las auditorías de seguridad que en la norma ISO/IEC 27001 se nos indica que realicemos. Se puede resumir por tanto que la Norma ISO/IEC 27001 define el QUÉ y las guías de buenas prácticas definen el CÓMO.

Mi recomendación si te interesa el tema, es que te estudies además de la ISO 27001 la Guía de Buenas Prácticas OSSTMM, es equivalente a la OWASP, e igualmente genial, pero con una diferencia y es que pronto, si todo sigue su curso y por los rumores que corren, va a convertirse en Norma ISO oficial, lo que facilitará su integración con la actual serie 27000 como es intuible:

Si tienes cualquier otra duda no dudes en preguntarnos

saludos

Muy buen aporte jantonio. una pregunta, sabes para cuando está previsto que OSSTMM se convierta en norma oficial? la verdad es que en ISO 27001 se echa en falta una parte más técnica, y por lo que veo esta norma puede cubrir bien esa parte.

saludos

Hola @pbarces, la fecha no te la puedo decir porque aún no existe fecha oficial, está todavía realizandose el proceso de reuniones para darle forma, de hecho, la última reunión se realizó hace tres meses en Malaka (Malasia).

Lo que si te puedo confirmar es el nombre que en principio recibirá por si quieres estar atento a la información que salga de ella en los próximos meses. Su nombre será ISO Hacking Standard.

De todas maneras intentaremos dar toda la información posible sobre la nueva Norma cuando salga a la luz.

saludos!

ok, gracias por la respuesta. Permaneceré atento a los comentarios que hagáis sobre la nueva ISO.

un saludo

@jlopez, el mes pasado se realizó en España la VI edición del OWASP Spain Chapter Meeting, por si te interesa, se grabaron unos videos bastante interesantes de las ponencias, puedes verlos aquí:

www.dragonjar.org/memorias-del-vi-owasp-...hapter-meeting.xhtml

saludos!