Resumen controles norma iso 27001-sgsi
Páginas: 13 (3032 palabras)
Publicado: 9 de diciembre de 2010
ISO-27001: Resumen de los Controles
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, las más empleadas, talvez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados.
Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividadsurgirá la primera decisión acerca de los controles que se deberán abordar.
Lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma.
“DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición,monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues a barca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc………………….
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? Demuchas formas posibles.
El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que sedeberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sinoseguramente el ciclo no estará cerrado y presentará huecos claramente identificables.
Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
II. DESARROLLO DE LOS CONTROLES
En este ítem, para ser más claro, se respetarála puntuación que la norma le asigna a cada uno de los controles.
A.5 Política de seguridad.
Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación,...
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, las más empleadas, talvez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados.
Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividadsurgirá la primera decisión acerca de los controles que se deberán abordar.
Lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma.
“DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición,monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues a barca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc………………….
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? Demuchas formas posibles.
El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que sedeberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sinoseguramente el ciclo no estará cerrado y presentará huecos claramente identificables.
Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
II. DESARROLLO DE LOS CONTROLES
En este ítem, para ser más claro, se respetarála puntuación que la norma le asigna a cada uno de los controles.
A.5 Política de seguridad.
Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación,...
Leer documento completo
Regístrate para leer el documento completo.