18/1/08

Guía para la elaboración del marco normativo de Seguridad ISO 27002.

Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:

  • Made policies are easy de Charles Cresson Wood.

  • Writing Information Security Policies de Scott Barman.

  • Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier


El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.

7/1/08

Pronósticos del 2008

Como viene siendo tradición de este blog cada comienzo de año, toca tratar de vaticinar cuáles van a ser los problemas que este año nos van a llevar de cabeza.

Los últimos días del año, el grupo Google ISO27001security.com ha estado tambien tratando la cuestión y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la información para el 2008" que puede ser descargado en ingles en la siguiente dirección. El documento está licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarán los riesgos del 2008, como son:
- principales amenazas
- principales vulnerabilidades
- principales impactos

Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008.