Seguridad
Páginas: 10 (2421 palabras)
Publicado: 19 de marzo de 2015
¿El mejor estándar para gestionar la seguridad de la información?
Cada vez es más común que una organización decida iniciar un proyecto para implementar su Sistema para la Gestión de la Seguridad de la Información (SGSI), ya sea para formalizar lo que tiene o desarrollar algo desde cero, generalmente para cumplir alguna reglamentación, brindarle un valor agregado a sus clientes o porque larealidad competitiva de la organización la lleva a gestionar la seguridad de la información de su empresa de forma integral. Durante las primeras etapas surgen preguntas como: ¿cuál es el estándar que debería seguir?, ¿cuantos estándares existen?, ¿es necesario implementar más de uno?.
Antes de aventurarse a dar una respuesta a estas preguntas, es importante tener en cuenta que el objetivo de estesistema es garantizar la integridad, la confidencialidad y la disponibilidad de la información de la organización. Lograr este objetivo se fundamenta en una adecuada gestión de riesgos, que incluye la identificación y valoración de los riesgos y las medidas de control, preventivas y correctivas, sobre todos los medios a través de los cuales fluya la información (servidores, equipos de comunicación,aplicaciones, computadoras personales, personas, archivos físicos, etc ), los cuales se denominan activos de información.
Con el objetivo claro, es momento de pensar en estándares o guías que faciliten la implementación del sistema, para lo cual las preguntas iniciales podrían ser transformadas en una: ¿Cuál es el mejor estándar para mi empresa?. Aunque esta pregunta no tiene una respuestaúnica, pues esta asociada a la realidad de cada organización, es en este punto donde aparecen una gran cantidad de estándares, nombres, siglas y guías que de no tener cuidado convierten la búsqueda y elección en una tarea abrumadora. El estándar más general y completo para la gestión de la seguridad de la información es la familia ISO 27000, que incluye en sus dominios, entre otros, la gestión deactivos, la seguridad asociada al recurso humano, la gestión de comunicaciones y operaciones, el control de acceso y la gestión de la continuidad del negocio, todo enmarcado en un ciclo PHVA (planear-hacer-verificar-actuar; en inglés se denomina PDCA, plan-do-check-act) que busca la mejora continua de los procesos, concepto introducido por Walter A. Shewhart y desarrollado por Edwards Deming comoparte de la teoría del Total Quality Management (TQM). Otros estándares como Magerit, Marion, Mehari y Octave son más específicos, desarrollados para una región particular y para la gestión de riesgos de empresas con diferente naturaleza operativa. Suelen ser menos robustos y según el alcance que se le quiera dar al proyecto pueden ser una muy buena alternativa.
En este proceso de búsqueda, surgenotras opciones que si bien no son estándares para un sistema de este tipo son una gran herramienta para mejorar la gestión de las áreas de TI. Entre las más populares está CobiT, un marco de control para la gobernabilidad de TI que busca la gestión de procesos relacionados con tecnología de la información y su integración con el negocio. Otra opción es ITIL, un marco de servicios donde serecopilan las mejores prácticas para la gestión de servicios que tienen que ver con tecnologías de información. Tanto CobiT como ITIL no son estándares son marcos de trabajo (frameworks) que proveen al usuario mejores prácticas para la gestión de lo relacionado con TI, y como tales no deben aplicarse al pie de la letra, y sí adaptarse para cada situación. Además, se integran perfectamente con ISO27000, ya que igualmente están concebidos sobre el ciclo PHVA, además se pueden mapear entre sí. COSO es otro modelo, que extiende el modelo de gestión de riesgos a un sistema de control interno que abarque la compañía desde su planteamiento estratégico hasta procesos de autoevaluación.
Es muy importante no perder de vista que cuando se habla de seguridad de la información no solamente se refiere a...
Cada vez es más común que una organización decida iniciar un proyecto para implementar su Sistema para la Gestión de la Seguridad de la Información (SGSI), ya sea para formalizar lo que tiene o desarrollar algo desde cero, generalmente para cumplir alguna reglamentación, brindarle un valor agregado a sus clientes o porque larealidad competitiva de la organización la lleva a gestionar la seguridad de la información de su empresa de forma integral. Durante las primeras etapas surgen preguntas como: ¿cuál es el estándar que debería seguir?, ¿cuantos estándares existen?, ¿es necesario implementar más de uno?.
Antes de aventurarse a dar una respuesta a estas preguntas, es importante tener en cuenta que el objetivo de estesistema es garantizar la integridad, la confidencialidad y la disponibilidad de la información de la organización. Lograr este objetivo se fundamenta en una adecuada gestión de riesgos, que incluye la identificación y valoración de los riesgos y las medidas de control, preventivas y correctivas, sobre todos los medios a través de los cuales fluya la información (servidores, equipos de comunicación,aplicaciones, computadoras personales, personas, archivos físicos, etc ), los cuales se denominan activos de información.
Con el objetivo claro, es momento de pensar en estándares o guías que faciliten la implementación del sistema, para lo cual las preguntas iniciales podrían ser transformadas en una: ¿Cuál es el mejor estándar para mi empresa?. Aunque esta pregunta no tiene una respuestaúnica, pues esta asociada a la realidad de cada organización, es en este punto donde aparecen una gran cantidad de estándares, nombres, siglas y guías que de no tener cuidado convierten la búsqueda y elección en una tarea abrumadora. El estándar más general y completo para la gestión de la seguridad de la información es la familia ISO 27000, que incluye en sus dominios, entre otros, la gestión deactivos, la seguridad asociada al recurso humano, la gestión de comunicaciones y operaciones, el control de acceso y la gestión de la continuidad del negocio, todo enmarcado en un ciclo PHVA (planear-hacer-verificar-actuar; en inglés se denomina PDCA, plan-do-check-act) que busca la mejora continua de los procesos, concepto introducido por Walter A. Shewhart y desarrollado por Edwards Deming comoparte de la teoría del Total Quality Management (TQM). Otros estándares como Magerit, Marion, Mehari y Octave son más específicos, desarrollados para una región particular y para la gestión de riesgos de empresas con diferente naturaleza operativa. Suelen ser menos robustos y según el alcance que se le quiera dar al proyecto pueden ser una muy buena alternativa.
En este proceso de búsqueda, surgenotras opciones que si bien no son estándares para un sistema de este tipo son una gran herramienta para mejorar la gestión de las áreas de TI. Entre las más populares está CobiT, un marco de control para la gobernabilidad de TI que busca la gestión de procesos relacionados con tecnología de la información y su integración con el negocio. Otra opción es ITIL, un marco de servicios donde serecopilan las mejores prácticas para la gestión de servicios que tienen que ver con tecnologías de información. Tanto CobiT como ITIL no son estándares son marcos de trabajo (frameworks) que proveen al usuario mejores prácticas para la gestión de lo relacionado con TI, y como tales no deben aplicarse al pie de la letra, y sí adaptarse para cada situación. Además, se integran perfectamente con ISO27000, ya que igualmente están concebidos sobre el ciclo PHVA, además se pueden mapear entre sí. COSO es otro modelo, que extiende el modelo de gestión de riesgos a un sistema de control interno que abarque la compañía desde su planteamiento estratégico hasta procesos de autoevaluación.
Es muy importante no perder de vista que cuando se habla de seguridad de la información no solamente se refiere a...
Leer documento completo
Regístrate para leer el documento completo.