Iso 32342
Páginas: 12 (2922 palabras)
Publicado: 3 de noviembre de 2012
Sobre el análisis de brechas a ISO 27002 (antes ISO 17799)
Antecedentes
Siempre que se solicita realizar un análisis de brechas (assessment) de la ISO 27002 (antes 17799) se pide que este se realice sobre toda la organización, , o no se dice nada al respecto y se sobre entiende que se realizará a toda la organización. Cuando se emite el informe se indica el grado o nivel de cumplimiento de cadauno de los 133 controles evaluados, a excepción de aquellos a los cuales no aplica la organización (ver:¿Cuántos controles debo implementar? ).
Ahora, dependiendo de quién realice el trabajo y del tipo de evaluación empleada, los resultados del informe pueden indicar que el cumplimiento de cada control es:
1) Evaluación Simple: Sí / No
2) Evaluación media: Alto / Medio / Bajo
3)Evaluación compleja: Implemetado / Documentado / Gestionado / Predecible / Optimizado
El informe puede versar sobre alguno de los tres tipos de resultados (Pueden haber otras formas de evaluar el grado o nivel de cumplimientio).
La pregunta aquí es: ¿Es válido tener información sobre el estado de los controles sin considerar un alcance definido?
Análisis
La experiencia nos dice, y la normaISO 27001, que los controles (cualquiera de los 133) se diseñan e implementan conforme a las situaciones específicas de riesgo determinadas en los resultados de la gestión de riesgo o por el cumplimiento de requisitos legales, reglamentarios o aspectos de seguridad contractuales (CRLRCS).
Por otra parte tenemos controles que, por su naturaleza, son de aplicación horizontal a la organización,como es el caso de la política de seguridad (5.1.1) o la política de pantalla y escritorios limpios (11.3.3). Y, otros que son de aplicación vertical, por lo tanto se diseñan e implementan conforme a los resultados de la gestión de riesgos.
Lo cual quiere decir que un control, por ejemplo 9.1.2 Control físico de entrada, debe diseñarse e implementarse conforme a los riesgos identificados(ver:¿Cuántos controles debo implementar? ). Así, si una organización tiene operaciones y funciona en 4 locales, bajo las siguientes características:
* 1 Edifico propio en el centro de la ciudad (Oficina principal)
* 1 Casa propia acondicionada
* 1 Oficina en un edificio corporativo alquilado
* 1 Almacén propio en las afueras de la ciudad
El control 9.1.2 se diseñará e implementaráde forma similar pero con diferencias en cada local dependiendo de las amenazas y vulnerabilidades identificadas.
Entonces al momento de hacer la evaluación de este control, 9.1.2, qué local debe considerar el evaluador para el análisis de brechas. Usualmente, sólo se considera el local principal, lo cual no está mal, pero se debería saber de antemano el alcance de la evaluación parapoder emitir el informe de evaluación.
De forma similar pasa con otros controles. Por ejemplo, la cláusula 14 Continuidad de Negocio, a qué proceso o procesos debemos considerar al momento de hacer la evaluación.
¿Cuándo nos entregan el informe, respecto a la cláusula 14, qué procesos consideraron? No basta con qué TI tenga un BCP o DRP y decir en qué medida cumple dicho DRP o BCP.
Conclusión
Parahacer un análisis de brechas (assessment) respecto a la norma ISO 27002 debemos considerar un alcance en términos de procesos, tecnología, ubicaciones (localidades), etc. tal como lo estipula la cláusula 4.2.1.a., y se deben considerar los requisitos legales, reglamentarios o aspectos de seguridad contractuales.
Niveles de riesgo aceptable versus criterios de aceptación del riesgo
AntecedenteSiempre me preguntan cuál es la diferencia entre el nivel de riesgo aceptable y los criterios de aceptación del riesgo. Y, sobre todo en qué momento de la gestión de riesgos se deben aplicar.
Antes de efectuar el análisis debemos indicar que a todos nos queda claro que sigifica nivel, pero quizá no a muchos nos queda claro que es un criterio. Pues un criterio, conforme lo señala también la RAE,...
Antecedentes
Siempre que se solicita realizar un análisis de brechas (assessment) de la ISO 27002 (antes 17799) se pide que este se realice sobre toda la organización, , o no se dice nada al respecto y se sobre entiende que se realizará a toda la organización. Cuando se emite el informe se indica el grado o nivel de cumplimiento de cadauno de los 133 controles evaluados, a excepción de aquellos a los cuales no aplica la organización (ver:¿Cuántos controles debo implementar? ).
Ahora, dependiendo de quién realice el trabajo y del tipo de evaluación empleada, los resultados del informe pueden indicar que el cumplimiento de cada control es:
1) Evaluación Simple: Sí / No
2) Evaluación media: Alto / Medio / Bajo
3)Evaluación compleja: Implemetado / Documentado / Gestionado / Predecible / Optimizado
El informe puede versar sobre alguno de los tres tipos de resultados (Pueden haber otras formas de evaluar el grado o nivel de cumplimientio).
La pregunta aquí es: ¿Es válido tener información sobre el estado de los controles sin considerar un alcance definido?
Análisis
La experiencia nos dice, y la normaISO 27001, que los controles (cualquiera de los 133) se diseñan e implementan conforme a las situaciones específicas de riesgo determinadas en los resultados de la gestión de riesgo o por el cumplimiento de requisitos legales, reglamentarios o aspectos de seguridad contractuales (CRLRCS).
Por otra parte tenemos controles que, por su naturaleza, son de aplicación horizontal a la organización,como es el caso de la política de seguridad (5.1.1) o la política de pantalla y escritorios limpios (11.3.3). Y, otros que son de aplicación vertical, por lo tanto se diseñan e implementan conforme a los resultados de la gestión de riesgos.
Lo cual quiere decir que un control, por ejemplo 9.1.2 Control físico de entrada, debe diseñarse e implementarse conforme a los riesgos identificados(ver:¿Cuántos controles debo implementar? ). Así, si una organización tiene operaciones y funciona en 4 locales, bajo las siguientes características:
* 1 Edifico propio en el centro de la ciudad (Oficina principal)
* 1 Casa propia acondicionada
* 1 Oficina en un edificio corporativo alquilado
* 1 Almacén propio en las afueras de la ciudad
El control 9.1.2 se diseñará e implementaráde forma similar pero con diferencias en cada local dependiendo de las amenazas y vulnerabilidades identificadas.
Entonces al momento de hacer la evaluación de este control, 9.1.2, qué local debe considerar el evaluador para el análisis de brechas. Usualmente, sólo se considera el local principal, lo cual no está mal, pero se debería saber de antemano el alcance de la evaluación parapoder emitir el informe de evaluación.
De forma similar pasa con otros controles. Por ejemplo, la cláusula 14 Continuidad de Negocio, a qué proceso o procesos debemos considerar al momento de hacer la evaluación.
¿Cuándo nos entregan el informe, respecto a la cláusula 14, qué procesos consideraron? No basta con qué TI tenga un BCP o DRP y decir en qué medida cumple dicho DRP o BCP.
Conclusión
Parahacer un análisis de brechas (assessment) respecto a la norma ISO 27002 debemos considerar un alcance en términos de procesos, tecnología, ubicaciones (localidades), etc. tal como lo estipula la cláusula 4.2.1.a., y se deben considerar los requisitos legales, reglamentarios o aspectos de seguridad contractuales.
Niveles de riesgo aceptable versus criterios de aceptación del riesgo
AntecedenteSiempre me preguntan cuál es la diferencia entre el nivel de riesgo aceptable y los criterios de aceptación del riesgo. Y, sobre todo en qué momento de la gestión de riesgos se deben aplicar.
Antes de efectuar el análisis debemos indicar que a todos nos queda claro que sigifica nivel, pero quizá no a muchos nos queda claro que es un criterio. Pues un criterio, conforme lo señala también la RAE,...
Leer documento completo
Regístrate para leer el documento completo.