De vez en cuando, y sin tener muy claro cómo, llego a artículos realmente interesantes. Unos por su profundiad, otros por su concreción, otros por la claridad de ideas que presentan... El artículo de hoy es uno de ellos: Hacia un gobierno de seguridad de información. Un artículo no muy extenso pero muy claro en el que se explican los principios del gobierno de la seguridad, y cómo desarrollarlo.
El punto de partida del artículo es que el gobierno de la seguridad se basa en la gestión de riesgos, y que su éxito radica en alcanzar y mantener un nivel aceptable de riesgo. Y para ello, el gobierno de la seguridad debe basarse en 4 principios básicos: alineación estratégica, reducción de riesgos, uso eficiente de recursos y mediciones para verificar los resultados obtenidos.
Según el artículo, el gobierno de la seguridad empieza por el desarrollo de un plan estratégico de seguridad y la articulación funcional de las responsabilidades de seguridad. Una vez desarrollada esta parte, se indica que hay que desarrollar el modelo de gestión asociado, y se propone como referencia el modelo de SGSI que presenta la ISO 27001. Una vez establecido el modelo de gestión, el artículo pasa a analizar la tarea de análisis y gestión de riesgos propiamente dicha , y por último el artículo señala como necesario el desarrollo del SGSI y por tanto el consiguiente desarrollo de indicadores y métricas que permitan desarrollar la gestión de riesgos en forma de ciclo de Demming. Y por último, por supuesto, mantener este funcionamiento.
Así leído la verdad es que parece un proceso lógico y sencillo. Y realmente no tiene por qué dejar de serlo: al fin y al cabo, todo el mundo gestiona riesgos de forma habitual en su vida cotidiana sin prácticamente percatarse, pero cumpliendo perfectamente con todos los pasos que aquí se identifican. ¿Alguien es capaz de poner algún ejemplo? El mío queda pendiente para un próximo post...
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario