HPE entre los lĆderes de almacenamiento de Gartner
Un sistema de GestiĆ³n de Seguridad de la InformaciĆ³n estĆ” basado en la aplicaciĆ³n de norma ISO27001, esta norma es la base de gestiĆ³n de la Seguridad de la InformaciĆ³n y es aplicable a cualquier tipo de organizaciĆ³n, sea pĆŗblica o privada.
DespuĆ©s de ocho aƱos Se ha anunciado que para finales de este aƱo 2013 la ISO27001-2005, evoluciona a ISO27001-2013, que incluye controles Ā“para identificar y controlar amenazas, vulnerabilidades y riesgos. Esta actualizaciĆ³n de la norma elimina el modelo PDCA (Plan ā Do ā Check ā Act), debido a se reconoce que lo realmente importante es la mejora continua y existen diferentes mĆ©todos igual de validos que el PDCA para su cumplimiento. Cambian algunos conceptos como:
1.Ā āPolĆtica del SGSIā, cambia a āPolĆtica de Seguridad de la InformaciĆ³nā
2.Ā āManagementā cambia a āTop Managementā La ISO27001-2005, tiene 133 controles contenidos en 11 dominios (A.5 a A.15), la nueva versiĆ³n ISO27001-2013 ahora estarĆ” compuesta por 114 controles contenidos en 14 dominios (A.5 a A.18).
Una razĆ³n principal para estos cambios es que ahora se tiene un dominio para evaluar la relaciĆ³n con proveedores. ISO27001, permite a las organizaciones certificarse, con lo que se obtiene credibilidad, transparencia y confianza en los procesos de seguridad de informaciĆ³n implementados para atender los requerimientos internos y los de los clientes externos.
Esta norma se rige por tres ejes o pilares de la misma, āConfidencialidadā, āIntegridadā y āDisponibilidadā Ā Confidencialidad- Garantizar a los dueƱos de la informaciĆ³n que esta, se encuentra custodiada y resguardada por una serie de controles que permiten garantizar que su informaciĆ³n se encuentra en un ambiente (electrĆ³nico o fĆsico), seguro y que solamente tendrĆ”n acceso a la misma Ć©l o las personas autorizadas. Ā Integridad.- Asegurar que la InformaciĆ³n (electrĆ³nica o fĆsica), es Ćŗnicamente modificable por el dueƱo de la misma y haciendo uso de controles establecidos por ISO27001, llevar el control de los eventos en los que la informaciĆ³n ha sido actualizada o modificada por el dueƱo de la misma o por un tercero con la respectiva autorizaciĆ³n. Ā Disponibilidad.- Mantener la informaciĆ³n disponible para ser usada por la OrganizaciĆ³n en todo momento que sea requerida dentro de los procesos de negocio.
Cuando la ISO27001-2013 sea publicada de forma oficial, se darĆ” a la empresas un tiempo que por lo regular es de 2 aƱos para hacer los cambios dentro de su actual Sistema de GestiĆ³n de Seguridad de la InformaciĆ³n, la validaciĆ³n de cumplimiento de esta transiciĆ³n podrĆ” ser revisada dentro de la auditoria anual de revisiĆ³n o bien solicitando una auditoria extraordinaria. Se encuentra circulando un draft de esta nueva versiĆ³n mismo que es de utilidad para ir evaluando y planeando los escenarios y cambios que se requerĆan establecer para caminar hacia esta transiciĆ³n en el momento que se publique oficialmente la ISO27001-2013.
Por JosĆ© Antonio MartĆnez SĆ”nchez – Information Security Analyst CRISC, CobiT
