|
||
|
|
||
Año 2 - N°9 | Septiembre 2006
|
 |
 |
|
- Toolbox - E-Fraude - Noticias robo bancario -iso27001 - 0 day - criptografía - SNMP - phishing - VOip eavesdropping - infosecurity 2006 - privacidad - galácticos - infección masiva |
Conceptos tales como Seguridad de la Información, comercio electrónico, publicación en Internet, transacciones on-line, generan modelos de Compañía que enfrentan un nuevo desafío: analizar, verificar y mostrar que sus sistemas informáticos y sus procesos de negocio poseen niveles de seguridad acordes a su estructura. Y, ¿a quiénes se debe mostrar esto? En la respuesta podemos incluir a clientes, proveedores, y por qué no, los sistemas de otras Organizaciones con las cuales interconectar infraestructura, datos, sistemas. Acá tenemos el Por Qué.
Una de las metodologías más recomendadas es el estándar internacional ISO/IEC 27001:2005 o BS 7799- 2:2005, que nos da un marco de acción sólido: nos exige contar con controles para evitar o mitigar brechas de seguridad, amenazas potenciales y materializadas (riesgos). Dicho estándar adopta el modelo “Plan-Do-Check-Act” (PDCA) y es aplicado a toda la estructura de procesos del Sistema de Gestión de la Seguridad de la Información (SGSI). Acá tenemos el Con Qué.
Los niveles gerenciales nos preguntarán acerca de cuánto se debe ampliar la infraestructura tecnológica y qué costo de equipamiento adicional implicaría certificar bajo esta Norma. ¡Acá hay una buena nueva!, esta Norma se orienta a reorganizar los aspectos netamente organizacionales de la seguridad de la información.
¿Por dónde comienzo? El primer paso consiste en establecer un análisis y evaluación de riesgos a los cuales se hallan expuestos los procesos (cualquier actividad que transforma entradas en salidas). Luego debemos definir qué controles de la Norma (sobre un total de 134) son los que se implementarán en la Compañía, para mitigar los riesgos evaluados. Cualquier exclusión a los controles detallados por el estándar deben estar justificados en el SGSI, ya sea porque el riesgo es bajo o porque es asumido y aceptado.
Dado que la implementación afecta a todos los niveles organizativos, debemos comunicar oficialmente y concienciar a todo el personal en tema de seguridad de la información. La Norma exige que todo el SGSI se halle documentado. Acá tenemos el Cómo.
No nos olvidemos que además se necesita evidenciar resultados tangibles respecto de la Gestión de la Seguridad. Para ello, la ISO 27001 plantea el uso permanente del Cuadro de Mando, el monitoreo (podría estar a cargo del Oficial de Seguridad) y Planes de Auditoría, que en la práctica pueden ser controles internos cruzados, a cargo del propio personal. Acá tenemos el Cuánto Tiempo.
Para finalizar diremos que las empresas que logran un nivel aceptable de implementación TAMBIÉN alcanzan un orden en la operatoria de su información y UNA MAYOR protección de sus activos intangibles.
Liliana Gómez
Security Consultant
|
|
|
|
| Copyright © 2006 I-SEC. Todos los derechos reservados |