He creido interesante, dado lo novedoso e incipiente de este mundillo de la construcción y operación de los SGSI's, el crear un grupo Linked-in que permita unir a profesionales o responsables en el manejo de este tipo nuevo de sistemas de gestión.
Creo que dado su inmaduro estado todavía, es necesario compartir aproximaciones y experiencias para que en general, todos los responsables de seguridad de las organizaciones que implanten un SGSI obtengan su máximo rendimiento aprovechando las infraestructuras que proporciona la Web 2.0 y sus correspondientes "Valores 2.0".
Se trata de compartir experiencias para no fracasar, de plantear cuestiones para entre todos, lograr de verdad la mejora continua. Sería deseable no caer en el juego de los "sellos certificados" que no significan nada, porque en calidad nos jugamos la "satisfacción del cliente" pero en ISO 27001 nos jugamos "la seguridad y continuidad de nuestros sistemas".
Quien quiera tener un sello decorativo que diga que alguien certifica que parece que gestiona bien la seguridad allá el, pero quien quiera tener un sistema que sirva para minimizar el impacto de los incidentes estará haciendo bien su trabajo.
Animo por tanto a los usuarios de Linked-in a unirse al grupo "ISO 27001-SGSI Spanish Group".
14/9/08
Microseguridad y macroseguridad, dos frentes de una misma batalla
Paloma Llaneza dispone de una sección titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien a estas alturas no la conozca, aqui tenéis una pequeña reseña de su intenso curriculum en materia de seguridad:
El resto se puede consultar aquí.
El texto que aparece en su sección es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan.
Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información.
Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.
Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar.
La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando.
El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration
- Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.
- Es Auditora de Sistemas de Información (CISA) certifcada por ISACA.
- Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.
- Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).
El resto se puede consultar aquí.
El texto que aparece en su sección es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan.
Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información.
Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.
- La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.
- La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.
Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar.
La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando.
El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration
9/9/08
ISO 27002.es y la integración de sistemas de gestión
Desde iso27000.es lanzan un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa.
El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.
Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.
También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.
La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.
El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.
Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.
Además, Agustín Lopez ISO27000.es ha traducido un excelente artículo de David Brewer, Michael Nash y William List sobre la integración de un SGSI con otros sistemas de gestión.
Podéis acceder a él a través del enlace "Explotando un sistema de gestión integrado."
El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.
Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.
También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.
La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.
El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.
Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.
Además, Agustín Lopez ISO27000.es ha traducido un excelente artículo de David Brewer, Michael Nash y William List sobre la integración de un SGSI con otros sistemas de gestión.
Podéis acceder a él a través del enlace "Explotando un sistema de gestión integrado."
Suscribirse a:
Entradas (Atom)