Buscando sobre algo de información en torno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizás la actividad más crítica para garantizar la seguridad de la información (que no para lo que supone su gestión).
El documento está en francés y descargable en la siguiente dirección.
Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor.
Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos.
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.
En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI.
Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.
Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001.
Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios:
Publicar un comentario