Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
100<br />
esta fase se <strong>en</strong>carga también <strong>de</strong> imprevistos, habitualm<strong>en</strong>te l<strong>la</strong>mados inci<strong>de</strong>ntes<br />
<strong>de</strong> <strong>seguridad</strong>, conting<strong>en</strong>cias o más comúnm<strong>en</strong>te aún, respuesta ante<br />
ataques. D<strong>en</strong>tro <strong>de</strong> estas activida<strong>de</strong>s se <strong>en</strong>marcan <strong>la</strong> disponibilidad <strong>de</strong> equipos<br />
<strong>de</strong> respuesta ante inci<strong>de</strong>ntes (CSIRT), análisis for<strong>en</strong>se, etc. El estándar no<br />
requiere explícitam<strong>en</strong>te estos elem<strong>en</strong>tos, pero sí exig<strong>en</strong> que <strong>la</strong> organización<br />
se dote <strong>de</strong> capacidad <strong>de</strong> respuesta ante estas circunstancias.<br />
Estos son los cont<strong>en</strong>idos <strong>de</strong> ISO 27001. Como se ha podido comprobar, un<br />
SGSI es una herrami<strong>en</strong>ta <strong>de</strong> cierta complejidad, que incluye activida<strong>de</strong>s muy<br />
diversas y que requiere <strong>de</strong> conocimi<strong>en</strong>tos multidisciplinares. Es precisam<strong>en</strong>te<br />
esta necesidad <strong>la</strong> que da orig<strong>en</strong> al resto <strong>de</strong> los estándares <strong>de</strong> <strong>la</strong> familia.<br />
El segundo estándar <strong>de</strong> <strong>la</strong> familia, y posiblem<strong>en</strong>te el más popu<strong>la</strong>r, es ISO<br />
27002. Su título “Guía <strong>de</strong> bu<strong>en</strong>as prácticas para <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong> <strong>la</strong> <strong>seguridad</strong><br />
<strong>de</strong> <strong>la</strong> información” es perfectam<strong>en</strong>te <strong>de</strong>scriptivo. Se trata <strong>de</strong> una lista <strong>de</strong><br />
i<strong>de</strong>as, <strong>de</strong> suger<strong>en</strong>cias, <strong>de</strong> posibles controles <strong>de</strong> <strong>seguridad</strong>, que nos ayudan a<br />
imp<strong>la</strong>ntar <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información. Es <strong>de</strong>cir, <strong>en</strong> el proceso anterior <strong>de</strong>l<br />
Sistema <strong>de</strong> <strong>Gestión</strong>, cuando hay que <strong>de</strong>cidir qué <strong>de</strong>bemos hacer para contro<strong>la</strong>r<br />
los riesgos <strong>de</strong> <strong>seguridad</strong> i<strong>de</strong>ntificados <strong>en</strong> el análisis <strong>de</strong> riesgos, se <strong>de</strong>be<br />
acudir a este estándar para <strong>en</strong>contrar el control <strong>de</strong> <strong>seguridad</strong> que permite<br />
resolver el problema <strong>de</strong> <strong>seguridad</strong> i<strong>de</strong>ntificado. En realidad, si alguna organización<br />
<strong>de</strong>cidiera imp<strong>la</strong>ntar el total <strong>de</strong> controles <strong>de</strong>scritos <strong>en</strong> ISO 27002, t<strong>en</strong>dría<br />
un nivel <strong>de</strong> <strong>seguridad</strong> elevadísimo. Y posiblem<strong>en</strong>te, el tiempo y recursos<br />
necesarios para conseguirlo serían c<strong>la</strong>ram<strong>en</strong>te inefici<strong>en</strong>tes. Por ello ISO<br />
27001 i<strong>de</strong>ntifica los problemas que hay y qué controles merec<strong>en</strong> <strong>la</strong> p<strong>en</strong>a ser<br />
imp<strong>la</strong>ntados (y con qué recursos), <strong>de</strong>jando <strong>la</strong> parte más tecnológica <strong>de</strong> cómo<br />
hacerlo a ISO 27002.<br />
ISO 27002 conti<strong>en</strong>e 133 controles <strong>de</strong> <strong>seguridad</strong>, or<strong>de</strong>nados <strong>en</strong> 39 objetivos<br />
<strong>de</strong> control y <strong>en</strong> 11 capítulos: controles re<strong>la</strong>tivos a <strong>la</strong> política <strong>de</strong> <strong>seguridad</strong>,<br />
organización para <strong>la</strong> <strong>seguridad</strong>, c<strong>la</strong>sificación y control <strong>de</strong> activos, recursos<br />
humanos, <strong>seguridad</strong> física, <strong>seguridad</strong> <strong>en</strong> comunicaciones, control <strong>de</strong> acceso,<br />
<strong>de</strong>sarrollo y mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> SS.II., gestión <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> <strong>seguridad</strong>, continuidad<br />
<strong>de</strong> negocio y conformidad legal (también l<strong>la</strong>mada Compliance).<br />
D<strong>en</strong>tro <strong>de</strong> estos capítulos <strong>en</strong>cu<strong>en</strong>tran acomodo para su tratami<strong>en</strong>to algunos<br />
aspectos tan comúnm<strong>en</strong>te aceptados y <strong>en</strong> boga <strong>en</strong> estos mom<strong>en</strong>tos como <strong>la</strong><br />
formación <strong>en</strong> <strong>seguridad</strong> (<strong>en</strong> recursos humanos), <strong>la</strong> externalización <strong>de</strong> servicios<br />
(<strong>en</strong> organización para <strong>la</strong> <strong>seguridad</strong>), <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong> p<strong>la</strong>nes <strong>de</strong> conti-