09 junio 2008
Publicada ISO/IEC 27005:2008
La semana pasada se publicó la norma ISO/IEC 27005:2008, bajo el título Information technology - Security techniques - Information security risk management. Como dice su nombre, esta norma supone una guía para la gestión de riesgos de seguridad de la información, de acuerdo con los principios ya definidos en otras normas de la serie 27000. Sustituye (y actualiza) a las partes 3 y 4 de la norma ISO TR 13335 (Técnicas para la gestión de la seguridad IT y Selección de salvaguardas, respectivamente), y se convierte en la guía principal para el desarrollo de las actividades de análisis y tratamiento de riesgos en el contexto de un SGSI. Constituye, por tanto, una ampliación del apartado 4.2.1 de la norma ISO 27001, en el que se presenta el análisis de riesgos como la piedra angular de un SGSI, y supone una excelente ayuda para todo aquél que quiera profundizar en el desarrollo práctico de un proceso de gestión de riesgos de seguridad de la información.
|
|
|
|
|
Suscribirse a:
Enviar comentarios (Atom)
9 comentarios:
Insisto Gran Maestro:
Has podido echarle un vistazo al estándar o al draft? Pregunto porque estoy embarcado en algunos proyectos y a falta de estándar ISO decidí utilizar a Magerit como herramienta para el análisis del riesgo y adecuarla a las necesidades de cada caso.
Saludos.
Aclaren que es un borrador y falta un tiempo mas para que salga la version final a la venta
Si te fijas el estado del documento en el link que posteo Joseba, verás que la ISO la clasifica como Status: Published. Creo que eso significa que dejó de ser un Draft o estoy equivocado?
Saludos
Creo que no cabe duda alguna: está en estado 60.60, que significa "International Standard published". O sea, "publicadísimo".
Efectivamente, es un estándar totalmente definitivo. Como nos cuenta Paloma Llaneza en su blog, la norma ya pasó hace algún tiempo por su fase de borradores, aunque debido a las divergencias en su aprobación parece que su revisión se va a adelantar.
Hola. Me interesa saber si el MAGERIT II es compatible (da conformidad) con el nuevo estándar ISO/IEC 27005:2008
Saludos
Pues la pregunta tiene su miga, aunque parezca simple. A día de hoy existen distintas metodologías y estándares en relación al análisis de riesgos, porque además de la ISO 27005 podemos encontrarnos, por ejemplo, con la BS 7799-3 o MAGERIT, y todas son distintas. Probablemente se podría desarrollar un análisis de riesgos que fuese compatible con todas ellas a la vez, pero si la pregunta es si MAGERIT II es conforme con ISO 27005, yo diría que NO. Sí que son compatibles, pero hay un aspecto clave que creo que provoca esa ausencia de conformidad: el tratamiento del concepto de 'vulnerabilidad'. Magerit "obvia" el término e incorpora el concepto "por medio de las métricas de degradación del activo y frecuencia de ocurrencia de la amenaza", mientras que la ISO 27005 lo contempla explícitamente y "exige" su identificación explícita. Esta divergencia creo que es clave para poder afirmar que, aunque se puede realizar un análisis de riesgos conforme con ambas metodologías, seguir una de ellas no garantiza el cumplimiento de la otra.
Al igual que Matías, estoy seleccionando una metodología de análisis de riesgos para certificar ISO 27001 y me inclino por Magerit II.
Dado que la 27005 es "aclaratoria" de un aspecto de la 27001 entonces sería sensato preguntarse si en un futuro la 27001 exigirá conformidad con la 27005 en la etapa de análisis de riesgo. De ser así, la utilización de Magerit podría no ser adecuada para certificar 27001 en el futuro.
Joseba, ¿sabes algo respecto a si Magerit (y la herramienta Pilar) podría evolucionar de modo tal de dar conformidad con la 27005?
Desde ya, muchísimas gracias por tu ayuda!!
Saludos, Leo
Buenas tardes,
Es cierto que ISO 27005 amplía el apartado de gestión del riesgo de la ISO 27001. No obstante, dudo mucho que en un futuro la 27001 exija el cumplimiento de ISO 27005 para el análisis de riesgos, ya que en ese caso perdería su caracter de mínimos (en la práctica sería como integrar la 27005 dentro de la 27001 para ese aspecto tan concreto) y porque la 27005 es una norma del tipo "explicativa", en ningún caso de requisitos. Por lo tanto, creo que puedes estar tranquilo al respecto.
Personalmente no creo que Magerit vaya a evolucionar para ser conforme con ISO 27005, ya que son dos metodologías equivalentes pero con distancias de forma bastante significativas (que no de fondo), y no creo que dicha evolución (es posible que no estuviésemos hablando de Magerit V2.1 sino de Magerit v3) aporte demasiado.
Lo que sí veo más viable es la posibilidad de que PILAR pueda evolucionar para contemplar ciertas exigencias de forma contenidas en la 27005, pero, por lo que sé, este tema no es prioritario en el desarrollo de la herramienta, ni creo que vaya a serlo en breve. De todas formas, si me entero de algo al respecto, os mantendré informados...
Publicar un comentario en la entrada