martes, 27 de noviembre de 2007

Métricas y recomendaciones de implementación sobre ISO 27001

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001 (Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.

4 comentarios:

Anónimo dijo...

Hola, Javier:

Gracias por tus elogios, que son especialmente bienvenidos cuando vienen de alguien como tú, que también está en la línea de intercambiar conocimientos y experiencias. Mucho tenemos que agradecer a la Web 2.0, que nos permite esta forma de trabajo tan satisfactoria.
Enhorabuena por la certificación de vuestro cliente.

Un saludo.

Javier Cao Avellaneda dijo...

Yo también creo que asociado a la Web 2.0 también vivimos en un cambio de mentalidad respecto a la gestión del conocimiento en lo que podemos llamar Persona 2.0.
Alguien ya no es importante por custodiar y guardar con celo lo que sabe sino por todo lo contrario, darle difusión y compartir el conocimiento para el beneficio de todos. Quizás Internet supone un cambio más profundo de lo que aparenta.

Anónimo dijo...

Totalmente de acuerdo Javier. Es una pena que Internet salga sin embargo mas en los medios por noticias negativas (pornografía infantil, phishing etc) que por lo que tiene de positivo... Que es mucho ....

Por cierto, y en relación a la ISO... ¿Como estais implementando los controles técnicos? Utilizais tecnología Microsoft? Usais algo de Business Intelligence para mostrar el estado y/o resultado de los controles ???

Javier Cao Avellaneda dijo...

Estamos ahora en la fase de análisis y gestión de riesgos, aunque nuestra infraestructura técnica es mixta. De los 133 controles de la norma, la mitad son de carácter técnico y si usamos tecnología Microsoft para el control de acceso dado que el servidor principal donde residen los ficheros está segmentado por unidades organizativas. Hay todavía controles por definir respecto a la monitorización pero en su momento usamos software libre con agentes en los equipos Microsoft. Todavía no hemos definido cuales van a ser nuestros objetivos y por tanto, nuestros indicadores y qué controles los van a alimentar, pero somos una Pyme y debe ser algo sencillo que no desborde a nuestro técnico de mantenimiento.

 
;