Canal de Telegram

11 jun 2008

Segu-Info » » Más información sobre ISO 27005:2008

Más información sobre ISO 27005:2008

11 jun 2008, 10:10:00 a.m.   Comenta primero!
   
Buscando sobre algo de información entorno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la nueva norma y sus objetivos.

El contenido va a ser interesante puesto que fija los cimientos de quizás la actividad más critica para garantizar la seguridad de la información (que no para lo que supone su gestión).
El documento está en francés y descargable en la siguiente dirección.

Pensar en aplicar la filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es más peligroso.

Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información".
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.

El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos. Fruto de esa gestión dejan los registros propios del SGSI.
A su vez, por la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. Por tanto, si quien gestiona va evaluando lo que quien mantiene y opera la seguridad va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.

Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001

Fuente: http://seguridad-de-la-informacion.blogspot.com/2008/06/ms-informacin-sobre-iso-270052008.html

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!