23 julio 2009

Gestion de Riesgos Vs Baselines

Hola a todos! La verdad es que últimamente tengo el blog bastante desatendido. Lo siento, pero por diversos motivos la verdad es que el tiempo no me da de sí ... Los días deberían tener más de 24 horas. Verdad?

Hoy sencillamente os quiero proponer un pequeño debate. O, al menos, una reflexión en la que os invito a participar. ¿Qué ventajas e inconvenientes veis a las dos estrategias de gestión de la seguridad que figuran en el título? ¿Cuál os gusta más? ¿Creéis que son compatibles?

En una de las esquinas del ring tenemos la gestión de riesgos de seguridad. Consiste en analizar los riesgos a los que estamos expuestos y aplicar medidas de seguridad para reducir aquellos riesgos que "sobresalen" por encima del nivel de riesgo que consideramos asumible. Las ventajas seguramente ya las conozcamos, pero como todo, siempre tiene un lado criticable: nada obliga a establecer un bajo nivel de riesgo aceptable, así que si asumimos riesgos elevados la seguridad que aplicaremos será "débil".

En la otra esquina tenemos la aplicación de baselines de seguridad. Consiste en establecer un cierto nivel de seguridad que conseguiremos mediante la aplicación de un determinado conjunto de medidas de seguridad específicas. Independientemente del riesgo, las medidas a aplicar son unas determinadas, con lo que conseguimos un nivel de seguridad "estandarizado", pero podremos estar haciendo una aplicación de medidas de seguridad ineficiente desde el punto de vista del riesgo.

Son dos alternativas válidas, cada una con sus ventajas y sus inconvenientes, aunque aparentemente poco compatibles. ¿Cuál os gusta? ¿Creéis que pueden ser compatibles? ¿Cómo? Estaré encantado de leer las opiniones de todos los que no estén de vacaciones...

2 comentarios:

Mariano del Río dijo...

Buenas, felicitaciones por el post. Permanentemente me encuentro con consultas similares. Personalmente creo que los baselines son justamente eso, un punto de partida, un mínimo. Este baseline debería estar conformado sobre todo por sentido común y prácticas que deberían existir en la mayoría de las organizaciones. Pero no deberíamos dejar de tener presente que para tener un sistema de gestión de seguridad de la información es indispensable tener identificados los riesgos a los que estamos expuestos y la gestión que se dará a cada uno de ellos. En resumen, entiendo que son cuestiones que deben complementarse para lograr el estado adecuado de gestión. Saludos,

Joseba Enjuto dijo...

En realidad, así es. Aunque en el post he planteado ambas opciones como contrapuestas, la realidad es que pueden combinarse. En un caso hablamos de mínimos, en el otro de unos niveles de seguridad acordes a nuestra situación particular... Pero siempre pueden establecerse dichos niveles garantizando los mínimos anteriores. Aunque claro... qué ocurre si estos mínimos son muy exigentes? Y ya que estamos... ¿Creéis que hay gente que considera el Anexo A de la ISO 27001 (el catálogo de controles) como baselines de seguridad, pese a que el estándar habla de análisis y gestión de riesgos?