Monografias.com > Computación > Programación
Descargar Imprimir Comentar Ver trabajos relacionados

ISO-27001: Los Controles

Partes: 1, 2

  1. Prólogo
  2. Presentación
  3. Desarrollo de los controles
  4. Resumen y conclusiones parciales de esta
    parte

Este artículo es la
continuación del análisis de la norma
ISO-27001.

Para facilitar su lectura y que no sea tan
extenso, se presentará en dos partes. En la presente
(Parte I), se desarrollarán los primeros cinco
grupos de controles, dejando los seis restantes para
la parte II del mismo.

PRÓLOGO

En un artículo anterior a este, denominado
"Análisis de la ISO 27001:2005", se desarrollaron los
conceptos generales de este nuevo estándar de seguridad de
la información. Se describió su origen y
posicionamiento, y luego se hizo un resumen de las
consideraciones clave del mismo. En concreto ese texto presentaba
lo siguiente:

"Los detalles que conforman el cuerpo de
esta norma, se podrían agrupar en tres grandes
líneas:

– SGSI (Sistema de Gestión de la
Seguridad de la Ingormación o ISMS: Information Security
Managemet System).

– Valoración de riegos (Risk
Assesment)

– Controles"

De esas tres grandes líneas, por ser una
presentación de la norma, se continuó con las
generalidades y se hizo bastante hincapié en el concepto
de SGSI (o ISMS), por considerarse a este tema el que más
necesitaba ser explicado inicialmente, pues es lo que
verdaderamente hace del estándar un "Sistema completo de
Gestión de la Seguridad" (Si bien hay más aspectos
que están siendo incorporados en una nueva versión
de controles que estará disponible muy
brevemente).

Tal vez la conclusión más importante de
ese texto fuera que "Se puede prever, que la certificación
ISO-27001, será casi una obligación de cualquier
empresa que desee competir en el mercado en el corto plazo". Por
esta razón es que se consideró necesario seguir
adelante con el análisis del mismo.

Los primeros pasos para la implementación de esta
norma son:

– Definir el ámbito y
política del SGSI.

Proceso de análisis y
valoración de riesgos (Evaluación de
Riesgos).

Selección, tratamiento e
implementación de Controles.

– ………

El tercer punto anteriormente presentado es
lo que se desarrollará en el presente artículo para
tratar de entrar en el detalle de cada uno de los grupos que
propone ISO 27001.

DESARROLLO

I.
PRESENTACIÓN:

Sobre el tema de Análisis de Riesgo, no se desea
profundizar, pues la norma deja abierto el camino a la
aplicación de cualquier tipo de metodología,
siempre y cuando la misma sea metódica y completa, es
decir satisfaga todos los aspectos que se mencionan en ella.
Existen varios tipos de metodologías, en España las
más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es
posible la aplicación de procedimientos propietarios o
particulares, si presenta rigurosidad en los pasos y
resultados.

Lo que es necesario recalcar aquí es que los
controles serán seleccionados e implementados de acuerdo a
los requerimientos identificados por la valoración del
riesgo y los procesos de tratamiento del riesgo. Es decir, que de
esta actividad surgirá la primera decisión acerca
de los controles que se deberán abordar.

La preparación y planificación de SGSI, se
trató en el artículo anterior, pero en definitiva,
lo importante de todo este proceso es que desencadena en una
serie de controles (o mediciones) a considerar y documentar, que
se puede afirmar, son uno de los aspectos fundamentales del SGSI
(junto con la Valoración de riesgo). Cada uno de ellos se
encuentra en estrecha relación a todo lo que especifica la
norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos
sean el máximo detalle de afinidad entre ambos
estándares. La evaluación de cada uno de ellos debe
quedar claramente documentada, y muy especialmente la de los
controles que se consideren excluidos de la misma.

"DESCONCEPTO": Al escuchar la palabra "Control",
automáticamente viene a la mente la idea de alarma, hito,
evento, medición, monitorización, etc…., se
piensa en algo muy técnico o acción. En el caso de
este estándar, el concepto de "Control", es mucho (pero
mucho) más que eso, pues abarca todo el conjunto de
acciones, documentos, medidas a adoptar, procedimientos, medidas
técnicas,
etc………………….

Un "Control" es lo que permite garantizar
que cada aspecto, que se valoró con un cierto riesgo,
queda cubierto y auditable

¿Cómo? Æ De muchas
formas posibles.

El estándar especifica en su "Anexo A" el listado
completo de cada uno de ellos, agrupándolos en once
rubros. Para cada uno de ellos define el objetivo y lo describe
brevemente.

Partes: 1, 2

Página siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter