Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
nuidad <strong>de</strong> negocio y c<strong>en</strong>tros <strong>de</strong> respaldo (un capítulo completo <strong>de</strong>dicado a<br />
esta disciplina), LOPD (<strong>de</strong>ntro <strong>de</strong> compliance), CERTs (un capítulo completo<br />
<strong>de</strong>dicado a <strong>la</strong> gestión <strong>de</strong> inci<strong>de</strong>ncias y otros. Por lo tanto, el Sistema <strong>de</strong> <strong>Gestión</strong><br />
nos va a permitir <strong>en</strong>globar <strong>de</strong>ntro <strong>de</strong> una misma iniciativa múltiples<br />
aspectos necesarios para <strong>la</strong>s organizaciones que hasta ahora se podían estar<br />
gestionando <strong>de</strong> forma <strong>de</strong>sagregada, y con un soporte común para <strong>la</strong> toma <strong>de</strong><br />
<strong>de</strong>cisiones y selección <strong>de</strong> <strong>la</strong>s activida<strong>de</strong>s que <strong>de</strong>b<strong>en</strong> realizarse, ori<strong>en</strong>tado al<br />
negocio.<br />
El sigui<strong>en</strong>te estándar <strong>en</strong> popu<strong>la</strong>ridad es ISO 27004, ori<strong>en</strong>tado al soporte <strong>de</strong><br />
métricas e indicadores <strong>de</strong> <strong>seguridad</strong>, que han sido requeridos <strong>en</strong> diversos<br />
mom<strong>en</strong>tos por el Sistema <strong>de</strong> <strong>Gestión</strong>. El estándar propone ejemplos <strong>de</strong> métricas<br />
<strong>de</strong> <strong>seguridad</strong> que pue<strong>de</strong>n ser aplicables <strong>en</strong> un SGSI, pero mucho más importante,<br />
<strong>de</strong>scribe <strong>la</strong> forma <strong>en</strong> que dichas métricas e indicadores <strong>de</strong> <strong>seguridad</strong> <strong>de</strong>b<strong>en</strong><br />
ser seleccionados, evaluados e imp<strong>la</strong>ntados <strong>en</strong> el marco <strong>de</strong> un SGSI.<br />
Finalm<strong>en</strong>te, hay algunos estándares adicionales, no publicados <strong>en</strong> <strong>la</strong> fecha <strong>de</strong><br />
edición <strong>de</strong> este libro, como son ISO 27000, que dota <strong>de</strong> un glosario común al<br />
resto <strong>de</strong> estándares; ISO 27005, que propone una metodología estándar <strong>de</strong><br />
análisis <strong>de</strong> riesgos; y otros. En fechas próximas, asistiremos a su publicación.<br />
El total <strong>de</strong> activida<strong>de</strong>s <strong>de</strong> imp<strong>la</strong>ntación <strong>de</strong> un Sistema <strong>de</strong> <strong>Gestión</strong> proporciona<br />
ya a <strong>la</strong>s organizaciones <strong>la</strong> capacidad <strong>de</strong> gestionar <strong>de</strong> forma efici<strong>en</strong>te su <strong>seguridad</strong>.<br />
La certificación <strong>de</strong> <strong>la</strong>s mismas a través <strong>de</strong> un tercero proporciona a<strong>de</strong>más<br />
el refr<strong>en</strong>do acreditable <strong>de</strong> ese trabajo. Un sistema <strong>de</strong> gestión pue<strong>de</strong> no<br />
estar certificado y ser perfectam<strong>en</strong>te operativo. Su certificación sería ya el<br />
remate final, su reconocimi<strong>en</strong>to, <strong>la</strong> guinda <strong>de</strong>l pastel.<br />
◆<br />
3.2. Gobierno Corporativo y <strong>seguridad</strong>: COBIT<br />
COBIT® 4.1 (Control Objectives for Information and Re<strong>la</strong>ted Technology) es<br />
el marco <strong>de</strong> gestión <strong>de</strong>finido por ISACA (Information Systems Audit and Control<br />
Association), una organización <strong>de</strong> sin ánimo <strong>de</strong> lucro fundada <strong>en</strong> 1969 y<br />
que aglutina más <strong>de</strong> 65.000 profesionales <strong>de</strong> más <strong>de</strong> 140 países.<br />
COBIT® <strong>de</strong>fine un marco <strong>de</strong> gestión ori<strong>en</strong>tado a facilitar <strong>la</strong> gestión <strong>de</strong> <strong>la</strong>s tecnologías<br />
<strong>de</strong> <strong>la</strong> información mediante <strong>la</strong> especificación <strong>de</strong> un mo<strong>de</strong>lo <strong>de</strong><br />
gobierno, gestión y control. COBIT® se c<strong>en</strong>tra fundam<strong>en</strong>talm<strong>en</strong>te <strong>en</strong> conceptos<br />
<strong>de</strong> control y m<strong>en</strong>os <strong>en</strong> aspectos operativos.<br />
101