Problematica iso 27000 en pymes
Páginas: 9 (2085 palabras)
Publicado: 9 de abril de 2011
134
Normas y Estándares
Problemática, ventajas y desventajas de ISO-27001 en PyMEs
EL DISCURSO FINAL Y CONVINCENTE SE LOGRA CUANDO SE HAN SABIDO LLEGAR A IDENTIFICAR CLARAMENTE LOS “PROCESOS DE NEGOCIO”, Y SOBRE ELLOS CENTRAR LA MÁXIMA ATENCIÓN DE SEGURIDAD
reviste todo el proceso de Alejandro Corletti
DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA NCS
argumentos SÍ convencen a los cargosjerárquicos; son propios del lenguaje gerencial. Ya los hemos mencionado en otras oportunidades, y son:
implementación de la misma. El discurso más eficiente parte, sin lugar a dudas, de los dos mayores argumentos que diferencian ISO-27001 de ISO-17799, pues el resto es lo que
El análisis de Riesgo (AR)
La puesta en funcionamiento de un
E
n estas líneas, continuando con los artículossobre ISO-27001, trataremos de presentar el lado
bueno y el “oscuro” de la norma. Pero para no perder la esperanza, lo haremos primero, dando a conocer la forma de resolver la problemática, para mantener la fe. Luego, incrementaremos la ilusión a través de las ventajas que ofrece. Y por último (casi en letras pequeñas) daremos un par de desventajas, para que no pensemos que es todo perfecto enesta vida.
La mayor problemática en una PyME para encarar ISO27001, es convencer a su Dirección de la importancia que reviste el proceso de su implementación
tienen en común, es decir los “controles” (que hoy ya se denominan ISO-27002). Estos controles, son
verdadero SGSI (Sistema de Gestión de la Seguridad de la Información) requiere los controles que a continuación avanzamos. a. Elanálisis de riesgo En la secuencia natural para obtener resultados del análisis de riesgo, es: La identificación, definición, descripción y valoración de los activos. El cálculo de impacto (debilidades, riesgo, grado de exposición, popularidad, criticidad, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos. El riesgo concreto que se posee de producirse determinados hechos. Lassalvaguardas que se pueden aplicar para minimizar el riesgo. Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o área).
Problemática
Tal vez la mayor problemática que posea una PyME para encarar ISO27001, es lograr convencer a su Dirección de la importancia que
sencillamente varios grupos de medidas técnicas, que como corresponde, no convencen a ningún director(pues, con mis mayores respetos, no saben de lo que le estamos hablando). Estos dos “nuevos”
nº 14
octubre 2007
135
Normas y Estándares
Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al de mínima). Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia(Coste/Beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el máximo nivel de la empresa (o en definitiva a pagar…). El último paso que trato es el más importante de todos, pues recién a partir de éste, se puede iniciar el conjunto de medidas para minimizar los riesgos, y a su vez para ir solucionando los impactosque SÍ esté dispuesta a abordar la Dirección (“por escrito”: Declaración de intenciones). Lo cual dará como resultado un nuevo análisis de riesgo, para ver cómo evolucionaron las acciones, y los nuevos riesgos residuales… y las nuevas decisiones estratégicas… y las nuevas acciones… y las nuevas mejoras… y las nuevas… al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA. El discursofinal y convincente del AR se logra cuando se han sabido llegar a identificar claramente los “Procesos de negocio”, y sobre ellos centrar la máxima atención de seguridad. Esto es lo que da de comer a la empresa, y todo Director necesita dormir tranquilo sobre ellos. Por lo tanto, si esto se ha hecho bien, tenemos grandes posibilidades de haber ganado esta “primer batalla”, logrando que a través...
Normas y Estándares
Problemática, ventajas y desventajas de ISO-27001 en PyMEs
EL DISCURSO FINAL Y CONVINCENTE SE LOGRA CUANDO SE HAN SABIDO LLEGAR A IDENTIFICAR CLARAMENTE LOS “PROCESOS DE NEGOCIO”, Y SOBRE ELLOS CENTRAR LA MÁXIMA ATENCIÓN DE SEGURIDAD
reviste todo el proceso de Alejandro Corletti
DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA NCS
argumentos SÍ convencen a los cargosjerárquicos; son propios del lenguaje gerencial. Ya los hemos mencionado en otras oportunidades, y son:
implementación de la misma. El discurso más eficiente parte, sin lugar a dudas, de los dos mayores argumentos que diferencian ISO-27001 de ISO-17799, pues el resto es lo que
El análisis de Riesgo (AR)
La puesta en funcionamiento de un
E
n estas líneas, continuando con los artículossobre ISO-27001, trataremos de presentar el lado
bueno y el “oscuro” de la norma. Pero para no perder la esperanza, lo haremos primero, dando a conocer la forma de resolver la problemática, para mantener la fe. Luego, incrementaremos la ilusión a través de las ventajas que ofrece. Y por último (casi en letras pequeñas) daremos un par de desventajas, para que no pensemos que es todo perfecto enesta vida.
La mayor problemática en una PyME para encarar ISO27001, es convencer a su Dirección de la importancia que reviste el proceso de su implementación
tienen en común, es decir los “controles” (que hoy ya se denominan ISO-27002). Estos controles, son
verdadero SGSI (Sistema de Gestión de la Seguridad de la Información) requiere los controles que a continuación avanzamos. a. Elanálisis de riesgo En la secuencia natural para obtener resultados del análisis de riesgo, es: La identificación, definición, descripción y valoración de los activos. El cálculo de impacto (debilidades, riesgo, grado de exposición, popularidad, criticidad, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos. El riesgo concreto que se posee de producirse determinados hechos. Lassalvaguardas que se pueden aplicar para minimizar el riesgo. Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o área).
Problemática
Tal vez la mayor problemática que posea una PyME para encarar ISO27001, es lograr convencer a su Dirección de la importancia que
sencillamente varios grupos de medidas técnicas, que como corresponde, no convencen a ningún director(pues, con mis mayores respetos, no saben de lo que le estamos hablando). Estos dos “nuevos”
nº 14
octubre 2007
135
Normas y Estándares
Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al de mínima). Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia(Coste/Beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el máximo nivel de la empresa (o en definitiva a pagar…). El último paso que trato es el más importante de todos, pues recién a partir de éste, se puede iniciar el conjunto de medidas para minimizar los riesgos, y a su vez para ir solucionando los impactosque SÍ esté dispuesta a abordar la Dirección (“por escrito”: Declaración de intenciones). Lo cual dará como resultado un nuevo análisis de riesgo, para ver cómo evolucionaron las acciones, y los nuevos riesgos residuales… y las nuevas decisiones estratégicas… y las nuevas acciones… y las nuevas mejoras… y las nuevas… al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA. El discursofinal y convincente del AR se logra cuando se han sabido llegar a identificar claramente los “Procesos de negocio”, y sobre ellos centrar la máxima atención de seguridad. Esto es lo que da de comer a la empresa, y todo Director necesita dormir tranquilo sobre ellos. Por lo tanto, si esto se ha hecho bien, tenemos grandes posibilidades de haber ganado esta “primer batalla”, logrando que a través...
Leer documento completo
Regístrate para leer el documento completo.