Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
94<br />
• ISO/IEC 27001 se c<strong>en</strong>tra <strong>en</strong> <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong> un sistema <strong>de</strong> gestión para<br />
<strong>la</strong> <strong>seguridad</strong>, basado <strong>en</strong> el ciclo <strong>de</strong> mejora continua, al igual que otros<br />
mo<strong>de</strong>los <strong>de</strong> gestión (calidad, medioambi<strong>en</strong>tal, etc.).<br />
• COBIT 4.1 se c<strong>en</strong>tra <strong>en</strong> <strong>la</strong> <strong>de</strong>finición <strong>de</strong> objetivos <strong>de</strong> control así como <strong>en</strong><br />
el establecimi<strong>en</strong>to <strong>de</strong> un mo<strong>de</strong>lo <strong>de</strong> madurez.<br />
• ISO/IEC 2000 (ITIL) se c<strong>en</strong>tra <strong>en</strong> <strong>la</strong> <strong>de</strong>finición <strong>de</strong> procesos <strong>de</strong> provisión y<br />
soporte <strong>de</strong> servicios IT, i<strong>de</strong>ntificando <strong>de</strong> forma específica un proceso <strong>de</strong><br />
<strong>seguridad</strong>.<br />
◆<br />
3.1. Sistemas <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad (SGSI): ISO 27001 E ISO 17799<br />
La madurez <strong>de</strong> <strong>la</strong>s activida<strong>de</strong>s <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información <strong>en</strong><br />
<strong>la</strong>s organizaciones dio un paso <strong>de</strong> gigante con <strong>la</strong> publicación <strong>en</strong> 2005 <strong>de</strong>l<br />
estándar ISO 27001, primer y principal estándar <strong>de</strong> <strong>la</strong> familia 27000, ori<strong>en</strong>tada<br />
a este campo.<br />
La familia 27000 consolida y estandariza a nivel internacional <strong>la</strong>s diversas<br />
iniciativas nacionales que estaban <strong>en</strong> aplicación <strong>de</strong>s<strong>de</strong> el final <strong>de</strong> <strong>la</strong> década<br />
<strong>de</strong> los nov<strong>en</strong>ta, como <strong>la</strong> serie BS:7799 <strong>en</strong> Reino Unido, o <strong>la</strong> norma UNE<br />
71502 <strong>en</strong> España. Aunque <strong>la</strong> más popu<strong>la</strong>r <strong>de</strong> todas el<strong>la</strong>s era una norma ya<br />
internacional, ISO 17799. Esta norma se ha r<strong>en</strong>umerado <strong>en</strong> 2007 <strong>en</strong> <strong>la</strong> Norma<br />
ISO 27002, <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> familia 27000. Todas estas iniciativas han sido<br />
aplicadas con éxito a nivel nacional <strong>en</strong> los últimos años <strong>en</strong> múltiples organizaciones.<br />
Así, a finales <strong>de</strong> 2006, existían cerca <strong>de</strong> 3000 organizaciones <strong>en</strong> el<br />
mundo que habían obt<strong>en</strong>ido su certificación <strong>de</strong> <strong>seguridad</strong>, mediante <strong>la</strong><br />
imp<strong>la</strong>ntación y certificación <strong>de</strong> su Sistema <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong><br />
Información.<br />
Porque esa es <strong>la</strong> propuesta principal <strong>de</strong> <strong>la</strong> familia ISO 27000: <strong>la</strong> imp<strong>la</strong>ntación<br />
<strong>de</strong> un Sistema <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información. Como queda <strong>de</strong>finido<br />
<strong>en</strong> el propio estándar, el sistema es <strong>la</strong> herrami<strong>en</strong>ta <strong>de</strong> que dispone <strong>la</strong><br />
organización para llevar a cabo sus políticas y objetivos <strong>de</strong> <strong>seguridad</strong>. Dicho<br />
<strong>de</strong> otra forma, el sistema es <strong>la</strong> herrami<strong>en</strong>ta <strong>de</strong> <strong>la</strong> organización para dotarse <strong>en</strong><br />
cada mom<strong>en</strong>to <strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> <strong>seguridad</strong> oportunas, que proporcion<strong>en</strong> los<br />
niveles <strong>de</strong> protección <strong>de</strong> <strong>la</strong> información que <strong>en</strong> cada mom<strong>en</strong>to sean necesarias,<br />
<strong>de</strong> <strong>la</strong> forma más efici<strong>en</strong>te, <strong>en</strong> un <strong>en</strong>torno <strong>de</strong> mejora continua.