jueves, 14 de julio de 2005

Nueva versión ISO 17799:2005

Leo vía Finalcial Tech Magazine un texto resumen de las novedades de la norma ISO 17799 en su nueva versión.

Aunque hace ya un mes de la publicación de la nueva versión de la norma, este texto resume muy bien el nuevo enfoque de la norma y las principales novedades.

A continuación reseño las mejores partes del texto.

"Se ha incluido en la norma un capítulo destinado al análisis de riesgos. Este hecho pone de manifiesto la importancia del análisis de riesgos, como herramienta que debe servir a la Dirección para mejorar la gestión de la seguridad de sus sistemas de información.

El siguiente aspecto que nos gustaría destacar es la inclusión de dos conceptos puntuales que han sido elementos claves:

- Que la política de seguridad de la información tiene que estar alineada con los requerimientos del negocio (dentro de la corriente denominada IT Governance) y con las leyes y regulaciones relevantes (seguro que a más de uno ya se nos ha ocurrido alguna ley que nos trae de cabeza en esta materia).

- Que a los usuarios hay que darles formación, y concienciarles continuamente en esta materia, lo que les permitirá realizar las acciones necesarias para conseguir una óptima protección.

Solo una revisión de los grandes números:
- Hemos pasado de 127 controles en la edición de 2000 a 133 controles en 2005. Los 10 dominios de 2000 han crecido hasta 11 en la reciente edición.

Al margen de la adición, modificación y eliminación de objetivos de control puntuales, se han producido dos grandes reestructuraciones dentro de la norma:

- Los objetivos de control de “Monitorización” han pasado de “Control de Accesos” a “Gestión de comunicaciones y operaciones”.

- Los objetivos de control relativos a “Gestión de incidentes de seguridad de la información” se han independizado de la “Seguridad de los Recursos Humanos”, y se han constituido como capítulo con entidad propia dentro de la norma. Este hecho unido a la circunstancia de que el apartado de “Seguridad de los Recursos Humanos” mantiene su peso relativo dentro de la norma, significa que han aumentado los objetivos de control en este apartado significativamente."
 
;