Leo vía Sergio Hernando dos post que recogen la información publicada por InfosecWriters entorno a la norma ISO 17799:2005.
En concreto, se han publicado dos documentos relacionados con dos bloques de control de la norma( Apartados 5 y 7 del estandar). Aquí posteo las referencias a los comentarios de Sergio Hernando y los documentos publicados por Infosecwriters.
Política de Seguridad:
- Política de Seguridad
- Scope and implementation – Part 1 Security Policy.
Inventario y control de activos:
- Inventario y control de activos
- ISO 17799: Asset Management
28/12/05
Cuadros de mando para la gestión de la seguridad de la información
Los Directores y Responsables de la seguridad están cada vez más tratando de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Estos "cuadros de mando de la seguridad" deben servir para orientar a los procesos de negocio entorno a los requisitos que en materia de seguridad deben garantizar. Para ello es importante contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones en base o bien a deficiencias detectadas o bien a necesidades de mejora.
Dada la reciente aparición de la gestión de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todavía un área o proceso interno con suficiente madurez, introducir estos conceptos de medición y control suele ser complicado. Para ello, el responsable de la gestión de la seguridad debe diseñar y definir claramente una serie de métricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organización. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la información" dentro de una organización.
El documento puede descargarse vía Infosecwriters en el enlace Security Metrics: Business Unit Scorecard
Dada la reciente aparición de la gestión de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todavía un área o proceso interno con suficiente madurez, introducir estos conceptos de medición y control suele ser complicado. Para ello, el responsable de la gestión de la seguridad debe diseñar y definir claramente una serie de métricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organización. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la información" dentro de una organización.
El documento puede descargarse vía Infosecwriters en el enlace Security Metrics: Business Unit Scorecard
Suscribirse a:
Entradas (Atom)