25 abril 2007

SGSI: Gestion y Seguridad

Hace ya algun tiempo (mas del que pensaba, ahora que vuelvo a ver la fecha), publique un post en el que analizaba el contenido de la ISO 9001 desde el punto de vista de sus componentes: Gestion + Calidad. El objetivo de este post es hacer el mismo analisis con la ISO 27001, y de ese modo facilitar la identificacion de los componentes de un SGSI.

Un SGSI es, por un lado, un sistema de gestion. En este caso, desarrollado con el objetivo de gestionar la seguridad de la informacion. Por tanto, sus componentes como sistema de gestion son los ya señalados:
  • Plan: Políticas, objetivos, metas, planes, ...
  • Do: Procesos, difusión, formación, gestión documental, registros, ...
  • Check: Auditorías, mediciones, gestión de incidencias, no conformidades, revisión por la dirección, ...
  • Act: Correcciones, acciones correctivas, acciones preventivas, ...
Por otro, un SGSI es Seguridad. Seguridad gestionada, y como tal, separada en dos partes: gestion de riesgos y controles de seguridad. La primera parte, la gestion de riesgos, es la principal aportacion de la norma, y exige la realizacion de un analisis de riesgos formal, la definicion de la estrategia de tratamiento de esos riesgos y la eleccion de las medidas para llevar a cabo ese tratamiento. Y para llevar a cabo esa eleccion de medidas de seguridad es precisamente para lo que se utilizan los controles de seguridad, ya que la norma propone definirlas mediante la seleccion de los controles necesarios de entre los 133 controles que la propia norma propone en su anexo A (y usar controles adicionales si los 133 no son suficientes).

En resumen, podemos decir que la ISO 27001 define un SGSI como Sistema de Gestion + Gestion de Riesgos + Controles de Seguridad. Ahora bien, los tres elementos tendran que estar adecuadamente integrados si queremos que el SGSI completo funcione. Ahi esta precisamente la dificultad, y tambien uno de los aspectos en los que, desde mi punto de vista, la norma quizas no sea lo suficientemente clara. Al fin y al cabo, los tres elementos que componen el SGSI llevan coexistiendo por separado en el mundo de la seguridad durante mucho tiempo, y sin embargo son muy pocos los ejemplos que se pueden poner de SGSIs reales y que funcionen antes de la aparicion de su antecesora (BS 7799-2).


P.D.: Perdon por no usar las tildes en los ultimos post, pero es que esa tecla ha decidido dejar de funcionar en mi equipo. Alguien sabe como convencerla para que vuelva al trabajo?
Publicado por a las
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)