Inicio / SEGURIDAD DE LA INFORMACIÓN ISO 27000

SEGURIDAD DE LA INFORMACIÓN ISO 27000

Por. Ing. Diego Betancourt

MS Consultores S.A.S.

La última versión de la norma 27000 tiene una estructura de alto nivel (10 capítulos) y está orientada la prevención.

Dicho esto, revisemos, esta norma contiene dos capítulos enfocados en la gestión de riesgos.

El primer de ellos es el 6.1 busca que la organización realice el análisis de riesgos. Al ser la 27000 un estándar de alto nivel, ya nos habla de riesgos a nivel “planeación”.

¿Y cómo son los riesgos a nivel planeación? Son aquellos que provienen del contexto, las políticas de seguridad de la información, definir roles y responsabilidades y demás aspectos que enmarcan el accionar del estándar en la organización.

Llama la atención que esta norma está orientada a la ejecución de los controles para los riesgos que se identifican. Esto se menciona en 8.1, 8.2 y 8.3; a diferencia de otras normas con estructura de alto nivel, como la ISO 9001:20015, en su capítulo 8

La norma nos facilita a las organizaciones el anexo A, que no es más que la referencia que le dice a la organización los 114 controles a cubrir.

El anexo A facilita a las organizaciones una serie de controles para la seguridad de la información. Y digo facilita porque la organización cuenta con la flexibilidad para elegir los controles pertinentes, aquellos cuya implementación aporta valor a la seguridad de la información.

Es aquí cuando entra la norma 27002 como guía de buenas prácticas para implantar controles. Esta norma proporciona en 14 dominios, 35 objetivos de control y 114 controles recomendaciones de las mejores prácticas en gestión de seguridad de la información.

De la seguridad de la información y el departamento de TI

Como un punto aparte coloco este tema, pues normalmente se piensa que el proceso de TI es el encargado de implementar los controles y de incluso lidiar con el sistema. Falso. TI no es más que un engranaje del sistema.

¿Por qué?

Primero porque seguridad de la información no solo involucra aspectos digitales, también hablamos de información que está en medio físico.

Segundo porque el dueño de la información es el gerente operativo, el auxiliar de documentación, el subgerente y a nivel general, todo colaborador que maneje la información.

Por supuesto, el proceso de TI juega un rol fundamental dentro de la estructuración del sistema y lleva a cargo varias responsabilidades, pero es importante que dejemos de pensar que un SGSI es solo el proceso de TI.

 

15-01-2019 |Categoría: General | 0 Comentarios

0 Comentarios

Deja un comentario

Para poder comentar debes ser un cliente registrado, debes iniciar sesión o registrarte.