Aplicar ISO 27001 y OWASP

He recibido la siguiente pregunta: En mi empresa el principal problema es que queremos aplicarlo la ISO 27001 con owasp para mejorar el aseguramiento de la seguridad en el proceso de desarrollo de aplicaiones web. no sabemos si es correcto o talvez aplciar otra ISO? Respuesta: Es correcto, puedes aplicar ISO 27001 con OWASP. El principal objetivo de ISO 27001 es la protección de la información, y para esto, el estándar usa la gestión de riesgos, que está compuesta por el análisis de riesgos y el tratamiento de riesgos. Por tanto, básicamente, para la protección de la información, tienes que identificar riesgos, y después tienes que tratarlos. Para el tratamiento de riesgos, ISO 27001 tiene el anexo A con 114 controles de seguridad, y existen controles específicos para el desarrollo software (en el dominio A.14), que pueden ser complementados con OWASP, que básicamente es un marco de trabajo para el desarrollo seguro. Este artículo sobre como integrar ISO 27001 con el ciclo de vida de desarrollo software te puede interesar: https://advisera.com/27001academy/how-to-integrate-iso-27001-controls-into-the-system-software-development-life-cycle-sdlc/