ISO 27001 & BS 25999

 

ISO 27001/BS 25999 documents, presentation decks and implementation guidelines


Free_Downloads
 
Newsletter
 
Sign up to our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 

Recent Posts

 
    

UPCOMING WEBINARS

    

 
ISO 27001 & BS 25999-2: Why is it better to implement them together?

    

Wednesday
May 23, 2012

    Register_now_green
     

 
Risk Management Part 1: Risk assessment methodology and risk assessment process

Monday
May 21, 2012

    Register_now_green
 
 
 
 

¿Seguridad de la información o seguridad de TI?

ByDejan Kosutic on April 02, 2010
Share

Uno podría pensar que estos dos términos son sinónimos; después de todo, ¿la seguridad de la información no tiene que ver con las computadoras?

En realidad, no. El punto principal es el siguiente: usted puede tener medidas de seguridad de TI perfectas, pero un sólo acto malicioso realizado por, digamos, un administrador, puede hacer caer todo el sistema de TI. Este riesgo no tiene nada que ver con las computadoras, está relacionado con personas, procesos, supervisión, etc.

Además, la información importante inclusive podría no estar en formato digital, también puede estar en formato de papel; por ejemplo, un importante contrato firmado con el mayor cliente, notas personales del director principal o contraseñas impresas de administrador guardadas en una caja fuerte.

Por lo tanto, siempre me gusta decirles a mis clientes que la seguridad de TI es 50% seguridad de la información, porque este aspecto también incluye seguridad física, gestión de recursos humanos, protección legal, organización, proceso, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todos los tipos de riesgos inaceptables.

Este enfoque integrado sobre la seguridad de la información está bien definido en la norma ISO 27001, la principal norma internacional sobre gestión de seguridad de la información. En conclusión, es necesario realizar la evaluación de riesgos sobre todos los activos de la organización, incluyendo hardware, software, documentación, personal, proveedores, socios, etc., y escoger los controles adecuados para disminuir esos riesgos.

La norma ISO 27001 ofrece 133 controles en su Anexo A. He realizado un breve análisis sobre esos controles y estos son los resultados:

  • Controles relacionados con TI: 46%
  • Controles relacionados con la organización o documentación: 30%
  • Controles sobre seguridad física: 9%
  • Protección legal: 6%
  • Controles relacionados con la relación con proveedores y clientes: 5%
  • Controles sobre la gestión de recursos humanos: 4%

¿Qué significa todo esto en términos de implementación de seguridad de la información y de la ISO 27001? Este tipo de proyectos no debe ser visto como un proyecto de TI porque, como tal, es probable que no todas las partes de la organización estén dispuestas a participar en él. Debe ser encarado como un proyecto que involucre a toda la empresa, en el que la gente importante de todas las unidades comerciales deben formar parte: la alta gerencia, personal de TI, asesores legales, gerentes de recursos humanos, personal de seguridad física, el lado comercial de la organización, etc. Sin este enfoque, terminará trabajando en la seguridad de TI y, de esta forma, no estará protegido ante los mayores riesgos.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).


read comments
©2010-2012 Dejan Kosutic. Proudly powered by WordPress
Entries (RSS) and Comments (RSS).