tag:blogger.com,1999:blog-33946654.post4572387974701346249..comments2024-03-29T10:47:09.875+01:00Comments on Seguridad y Gestión: Cuestion de confianzaJoseba Enjutohttp://www.blogger.com/profile/18377573571989848760noreply@blogger.comBlogger3125tag:blogger.com,1999:blog-33946654.post-27089793274097930042009-08-27T14:57:34.350+02:002009-08-27T14:57:34.350+02:00Veo que para vosotros los sellos no son suficiente...Veo que para vosotros los sellos no son suficientes... No obstante, las propuestas que planteáis (incluso las que planteo yo) puede que no sean sencillas de llevar a la práctica. ¿Qué empresa está dispuesta a enseñar su análisis de riesgos? Si está bien hecho, no deja de ser el lugar en el que se retratan las "vergüenzas" de una organización en materia de seguridad. ¿Cuál está dispuesta a mostrar a sus clientes su cuadro de mando de seguridad? Si las organizaciones en general no son muy partidarias de difundir sus estrategias, menos lo serán de sus cuadros de mando... La clave es determinar cómo es posible ver "desde fuera" el "nivel de seguridad" de una organización, sin necesidad de conocer sus tripas (eso es lo que haría la auditoría de segunda parte). ¿Qué mínimo de información consideramos suficiente para hacernos una idea de dicho nivel?Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.comtag:blogger.com,1999:blog-33946654.post-10729577971487157432009-08-25T21:56:47.668+02:002009-08-25T21:56:47.668+02:00Estoy completamente de acuerdo en que la certifica...Estoy completamente de acuerdo en que la certificación es una herramienta totalmente insuficiente para lo que estás planteando. Supongo que se debe a que las certificaciones carecen de los matices necesarios para ser utiles para un tercero: ¿qué dimensión me preocupa más: la confidencialidad, la integridad, la disponibilidad? La evaluación SI/NO no es suficiente para saber el grado de seguridad de una organización: Hace falta más niveles, no es suficiente el blanco o negro, nos hacen falta toda la escala de grises...<br /><br />En definitiva, creo que el <i>kit</i> de la cuestión es que la certificación no habla "en absoluto" del nivel de seguridad, "solo" se refiere al sistema de gestión.<br /><br />Si lo que necesitamos es un sistema que nos permita evaluar el nivel de seguridad de una compañía, tenemos que empezar a pensar en algo distinto a las certificaciones.Antonio Ramoshttps://www.blogger.com/profile/07193537464512243030noreply@blogger.comtag:blogger.com,1999:blog-33946654.post-89830521962367579552009-08-25T10:58:53.017+02:002009-08-25T10:58:53.017+02:00Efectivamente la pregunta tiene miga. Lo más relev...Efectivamente la pregunta tiene miga. Lo más relevante en relación a la confianza entre cliente y proveedor es el alcance de los procesos de la empresa que se han certificado en gestión de la seguridad. <br />Yo añadiría también que "gestión" no implica necesariamente "seguridad de la información". Se puede tener un "escaparate precioso" (El sello) y luego la trastienda ser un desastre (no lograr los objetivos de seguridad planteados).<br /><br />Un SGSI es una herramienta pero la confianza viene de garantizar el cumplimiento de objetivos. Podemos tener los mecanismos de gestión perfectamente definidos y operativos y a pesar de ello, no lograr satisfacer los objetivos de seguridad aunque ello por el propio sistema suponga la necesidad de seguir realizando ajustes.<br /><br />En relación a tu duda, comparto plenamente tus reticencias respecto a si es suficiente con acreditar estar certificado para ser un buen proveedor que garantice la seguridad. ¿Y si en el análisis de riesgos de la empresa certificada no se han considerado amenazas contra la información de sus clientes?<br /><br />Las auditorias de segunda parte son quizás una muy buena solución. <br /><br />Otra cosa que también ayudará a evaluar la fiabilidad de un tercero serán los resultados obtenidos por las métricas que éste se haya planteado aunque lo ideal sería un acuerdo de nivel de servicio basado en unos requisitos mínimos en relacióna ciertas métricas pactadas entre cliente y proveedor que luego pudieran ser revisadas en esas auditorías de segunda parte.Javier Cao Avellanedahttps://www.blogger.com/profile/09736963835602147031noreply@blogger.com