Iso 27001 controles parte 2
Páginas: 32 (7834 palabras)
Publicado: 23 de marzo de 2012
ISO-27001: Los Controles (Parte II)
ISO-27001: LOS CONTROLES
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com Madrid, “Navidad” de 2006.
(Parte II)
Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentó en dos partes. A principios del mes de noviembre se publicó la primera parte, denominada:“ISO-27001: Los Controles (Parte I)”, en la cual se desarrollaron los primeros cinco grupos de controles, dejando los seis restantes para este último texto, denominado parte II, con el cual completa la totalidad de los once controles que propone este estándar.
PRÓLOGO
Como se acaba de mencionar, para un entendimiento más completo del enunciado y objetivo de este estándar, se aconseja realizar unalectura previa de los dos artículos anteriores: “Análisis de la ISO 27001:2005” “ISO-27001: Los Controles (Parte I)”
En los mismos se realiza una presentación del estándar y luego se desarrollan los primeros cinco controles, de los once que propone esta norma. Durante este texto se tratarán de resumir los aspectos fundamentales que cubren el resto de los controles, para poder obtener como resultadouna visión completa de lo que debe ser considerado en cualquier organización que desee preparar e implementar un verdadero Sistema de Gestión de la Seguridad de la Información (SGSI), y de esta forma preparar el camino para una certificación en el estándar ISO 27001, que como ya se mencionó en los artículos anteriores, se aprecia, será uno de los pilares fundamentales para definir la “Calidad” conque se adoptan y gestionan acciones y medidas de seguridad sobre los recursos de una empresa. Los controles que se tratarán en este texto son (respetando la numeración que les asigna el Anexo A del estándar): A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentesde seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas
Alejandro Corletti Estrada Página 1 de 17
ISO-27001: Los Controles (Parte II)
DESARROLLO
I. PRESENTACIÓN:
En virtud de tratarse de una continuación, se presupone que se ha leído la parte precedente a este texto, por lo tanto no es necesario reiterar las ideas básicas que comprende lapresentación de un tema. En esta caso sólo se desea incidir una vez más sobre el “DESCONCEPTO” de Control, pues al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca todo el conjunto deacciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc………………….
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? De muchas formas posibles.
Volviendo a los controles que el anexo A de esta norma propone, se han desarrollado ya: A.5 Política de seguridad A.6 Organización de la información deseguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno Quedando para el presente texto entonces: A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad denegocio A.15 Marco legal y buenas prácticas Que se desarrollan a continuación.
Alejandro Corletti Estrada
Página 2 de 17
ISO-27001: Los Controles (Parte II)
II. DESARROLLO DE LOS CONTROLES
En este apartado, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los controles. A.10 Administración de las comunicaciones y operaciones Este grupo comprende...
ISO-27001: LOS CONTROLES
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com Madrid, “Navidad” de 2006.
(Parte II)
Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentó en dos partes. A principios del mes de noviembre se publicó la primera parte, denominada:“ISO-27001: Los Controles (Parte I)”, en la cual se desarrollaron los primeros cinco grupos de controles, dejando los seis restantes para este último texto, denominado parte II, con el cual completa la totalidad de los once controles que propone este estándar.
PRÓLOGO
Como se acaba de mencionar, para un entendimiento más completo del enunciado y objetivo de este estándar, se aconseja realizar unalectura previa de los dos artículos anteriores: “Análisis de la ISO 27001:2005” “ISO-27001: Los Controles (Parte I)”
En los mismos se realiza una presentación del estándar y luego se desarrollan los primeros cinco controles, de los once que propone esta norma. Durante este texto se tratarán de resumir los aspectos fundamentales que cubren el resto de los controles, para poder obtener como resultadouna visión completa de lo que debe ser considerado en cualquier organización que desee preparar e implementar un verdadero Sistema de Gestión de la Seguridad de la Información (SGSI), y de esta forma preparar el camino para una certificación en el estándar ISO 27001, que como ya se mencionó en los artículos anteriores, se aprecia, será uno de los pilares fundamentales para definir la “Calidad” conque se adoptan y gestionan acciones y medidas de seguridad sobre los recursos de una empresa. Los controles que se tratarán en este texto son (respetando la numeración que les asigna el Anexo A del estándar): A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentesde seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas
Alejandro Corletti Estrada Página 1 de 17
ISO-27001: Los Controles (Parte II)
DESARROLLO
I. PRESENTACIÓN:
En virtud de tratarse de una continuación, se presupone que se ha leído la parte precedente a este texto, por lo tanto no es necesario reiterar las ideas básicas que comprende lapresentación de un tema. En esta caso sólo se desea incidir una vez más sobre el “DESCONCEPTO” de Control, pues al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca todo el conjunto deacciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc………………….
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? De muchas formas posibles.
Volviendo a los controles que el anexo A de esta norma propone, se han desarrollado ya: A.5 Política de seguridad A.6 Organización de la información deseguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno Quedando para el presente texto entonces: A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad denegocio A.15 Marco legal y buenas prácticas Que se desarrollan a continuación.
Alejandro Corletti Estrada
Página 2 de 17
ISO-27001: Los Controles (Parte II)
II. DESARROLLO DE LOS CONTROLES
En este apartado, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los controles. A.10 Administración de las comunicaciones y operaciones Este grupo comprende...
Leer documento completo
Regístrate para leer el documento completo.