miércoles, 23 de octubre de 2013 1 comentarios

Undécimo cumpleaños del blog

Aunque con unos días de retraso, este mes se celebra el undécimo cumpleaños del blog. Este año no me he prodigado mucho en el número de entradas pero la disminución de la frecuencia viene compensada con la mejora de la calidad. Los dos últimos post enlazan a documentos adjuntos que tienen una extensión considerable y que han sido pensados para facilitar la lectura y uso de los mismos fuera del ámbito del blog.  

Como todos los años toca agradecer a los lectores su presencia. Este año además contamos con las nuevas versiones ISO 27001 e ISO 27002 que seguro me permiten generar más contenidos y comentarios sobre las tareas para la construcción de sistemas de gestión de la seguridad de la información. También ando en lo profesional intentando formalizar el deseado cuadro de mandos de la seguridad y para ello, buscando la mejor manera de identificar qué eventos son relevantes para definir el estado de la seguridad y qué metricas las que mejores indicadores pueden proporcionar... pero eso será objeto de un futuro post.
Un saludo,



miércoles, 9 de octubre de 2013 5 comentarios

Análisis detallado sobre la nueva ISO 27001:2013

Tras unos días de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. 

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.



Podéis proceder a la descarga del documento con licencia Creative Common en este enlace:
La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado "cuadro de mando" de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

 
;