Control
Páginas: 15 (3561 palabras)
Publicado: 30 de marzo de 2010
ISO-27001: Los Controles
ISO-27001: LOS CONTROLES
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com
(Parte I)
Madrid, noviembre de 2006. Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejandolos seis restantes para la parte II del mismo.
PRÓLOGO
En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detallesque conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System). Valoración de riegos (Risk Assesment) Controles”
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (oISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que lacertificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo. Los primeros pasos para la implementación de esta norma son:
Alejandro Corletti Estrada
Página 1 de 9
ISO-27001: Los Controles
-
Definir el ámbito y política del SGSI. Proceso deanálisis y valoración de riesgos (Evaluación de Riesgos). Selección, tratamiento e implementación de Controles. ………
El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO 27001.
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues lanorma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad enlos pasos y resultados. Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. La preparación y planificación de SGSI, se trató en elartículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vezestos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma. “DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o...
ISO-27001: LOS CONTROLES
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com
(Parte I)
Madrid, noviembre de 2006. Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejandolos seis restantes para la parte II del mismo.
PRÓLOGO
En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detallesque conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System). Valoración de riegos (Risk Assesment) Controles”
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (oISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que lacertificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo. Los primeros pasos para la implementación de esta norma son:
Alejandro Corletti Estrada
Página 1 de 9
ISO-27001: Los Controles
-
Definir el ámbito y política del SGSI. Proceso deanálisis y valoración de riesgos (Evaluación de Riesgos). Selección, tratamiento e implementación de Controles. ………
El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO 27001.
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues lanorma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad enlos pasos y resultados. Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. La preparación y planificación de SGSI, se trató en elartículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vezestos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma. “DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o...
Leer documento completo
Regístrate para leer el documento completo.