conclusiones iso
Conclusiones
Como se pudo apreciar hasta ahora, el concepto de “Control”, no es el convencional que se puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo.
Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad (Consejo “de viejo”: Ver RFCs: 1244 y 2196)
Organizar: Responsables, obligaciones, derechos, acuerdos, etc (Base de datos y documentación que la sustente).
Recursos: Responsables de los mismos y clasificación de la información que contienen. LOPD, LSSI. Inventario “VIVO” (Consejo: aprovechar al máximo los elementos de Red y Seguridad, para eso están).
Recursos humanos: Coordinar y sincronizar el trabajo de ambas gerencias (RRHH y Seguridad). Tres momentos fundamentales: Inicio – durante (Plan de formación) – Cese. Documentar y procedimentar los pasos que “tácitamente” se siguen.
Seguridad física: Mentalidad de “Niveles TCP/IP” para dividir bien las tareas.Se reitera una vez más, que como se pudo apreciar a lo largo de todos los artículos, el concepto de “Control”, no es el convencional que se puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo.
Algo que no se puede dejar de mencionar de esta norma, es que a través de esta nueva organización de controles, con el objetivo de llevar adelante un verdadero SGSI, es (por primera vez a mi juicio) aplicable a cualquier tipo de organización, independientemente de su magnitud, pues si es grande, tiene todo el nivel de detalle que desea y si es pequeña tiene a su disposición la posibilidad de justificar todo aquello que no le aplica y (una vez planteado y pensado), dejarlo de lado si no le es útil....
Regístrate para leer el documento completo.