martes, 6 de septiembre de 2005

Normalización en seguridad de las tecnologías de la información

He venido comentando a lo largo de este verano las constantes noticias en materia de seguridad y normalización que se han venido produciendo.

El Ministerio de Administraciones Publicas a través del Consejo Superior de Informática también ha trabajado duro estos ultimos meses y a lo largo del verano han ido publicando alguno de sus resultados.

Dado el carácter estratégico que tiene la seguridad de la información para el Estado, es tranquilizador saber que los técnicos de la Administración Pública están atentos a la evolución del mercado y van adaptando las diferentes normas a recomendaciones y metodologías a implantar en la Administración Pública.

En la sección del SSITAD (Comité Técnico del Consejo Superior de Informática de Seguridad de los Sistemas de Información y Protección de Datos Personalizados Automatizados) del MAP, aparece el documento Normalización en seguridad de las tecnologías de la información donde describe qué papel está desempeñando la Administración Pública en la definición del nuevo marco normativo en materia de seguridad.

Este documento ilustra cuales son los grupos de trabajo dentro de ISO en los que el MAP se encuentra involucrado, la evolución de las diferentes normas, el estado actual de algunas de ellas y el nuevo dibujo que se perfila. La siguiente figura ilustra la evolución histórica del conjunto de normas.



Es un documento interesante para comprender el contexto de las futuras normas de seguridad de la información y su justificación.

También ha aparecido la versión 2.0 de MAGERIT, la metodología de análisis y gestión del riesgo de los sistemas de información. Aunque postearé algo al respecto en breve, mis primeras impresiones al mirar por encima los tres documentos de la metodología es que no hay cambios importantes en cuanto a conceptos pero si un cambio profundo en cuanto a su aplicación.

Han convertido MAGERIT 1.0 que era teóricamente un modelo muy bueno pero en la práctica poco viable de utilizar en un MAGERIT 2.0 con mejoras muy importantes. Se han resuelto muchas de las incognitas que surgen a la hora de aplicar esta metodología como son:
- estados de la seguridad, que ahora se renombran como dimensiones de la seguridad
- criterios de valoración de activos y sus diferentes tipos
- representación de las dependencia entre activos
- tipos de amenaza y sus daños

En próximos post realizaré una evaluación más completa de mis primeras impresiones.

- identificación de amenazas
 
;