Thursday, April 13, 2006

Fumata blanca para la ISO en Gestión de Riesgos


Pues parece que había algo más que bichos raros detrás de esto de la "Gestión de Riesgos de la Seguridad de la Información"....La publicación bajo BSI de la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management" es un espaldarazo a quienes pensamos que la Gestión del Riesgo es la piedra angular de la gestión de la Seguridad de la Información, la herramienta imprescindible, primera y primaria para reducir el abismo entre "techies" y "gestores". Si la dirección empieza a oir hablar de cosas que entienda, mejor para todos....
La necesidad de la norma se apoyaba en el hecho de que, a pesar de la norma ISO/IEC 27001:2005 (para orientarse en este embrollo, se recomienda una visita a las FAQ'S de BSI) no se sabía muy bien cómo desarrollar de manera práctica todo el ciclo de análisis y gestión de Riesgos. En definitiva, orienta sobre cómo identificar, evaluar el riesgo y, posteriormente, implementar controles o salvaguardas para mitigar/reducir los mismos, así como los mecanismos de revisión, monitorización y mejora continua del sistema de control basado en riesgo.
Otra buena noticia para la estandarización de actividades de un Sistema de Gestión de la Seguridad de la Información (SGSI) es el anuncio del nuevo proyecto de norma ISO 27006 “Guidelines for information and communications technology disaster recovery services”, cuya publicación se espera para noviembre del 2007.

4 Comments:

At 2:36 PM, Blogger Javier Cao Avellaneda said...

A través de Sergio Hernando he dado con tu blog que me parece muy interesante. Aparte de seguridad-de-la-informacion estoy tratando de llevar adelante el SGSI-ISO27001 donde quiero ir contando mis experiencias en la construcción de un SGSI dado que es un proyecto en curso en el que estoy participando. Me gustaría que fuera un blog abierto y con multiples autores, asi que si te animas... un brazo más para remar será bienvenido.
Un saludo

 
At 10:34 PM, Blogger Fernando Aparicio said...

Javier, será un placer y un honor...yo también sigo tus blogs (como puedes ver de mi lista de links) desde hace tiempo y, de hecho, fuiste una de mis inspiraciones para iniciar el de riesgo electrónico.

Cuenta conmigo para "remar" en lo que nuestras, supongo complicadas agendas, nos permitan...

 
At 7:13 AM, Blogger José Manuel Fernández said...

Estimado Fernando:

Adjunto esto para comentarte que el link que haces a Javier Cao tiene un 7 de más en la famosa ISO 27001. Aquí cambias un número y cambias la Norma, como de la noche al día (es broma).

Al margen de eso, también me he lanzado al mundo de los blogs desde hace poco. Sergio Hernando ha sido compañero mío desde inicios de Universidad y compañeros de fechorías varias, así que he visto cómo le iba y las satisfacciones que da y me he lanzado.

También trato temas de 27001 entre otros y naturalmente, sigo lo que escribe Javier Cao en su blog puntualmente para ver nuevos aportes.

Si le posteas a él con temas interesantes, podré ver también tus comentarios, así que te animo a que aportes conocimientos en su site para disfrute de todos.

Te dejo mi blog aquí por si deseas visitarlo en alguna ocasión y aportar tus comentarios.

Ya Javier posteó el lanzamiento de mi blog en su sitio, por lo cual le estoy muy agradecido.

Recibe un cordial saludo.

José Manuel Fernández

 
At 10:29 PM, Blogger Fernando Aparicio said...

Jose Manuel, gracias por tu comentario y bienvenido a este "mercado de conversaciones" que es la blogosfera.

Seguimos en contacto, intentaré postear lo que pueda (últimamente estoy absolutamente desbordado) y, por supuesto, sindicar tu blog, que me parece francamente interesante y que aporta una visión, el de la calidad, que está a caballo de los universos que tradicionalmente abordan la gestión de la seguridad, el tecnológico y el legal.

 

Post a Comment

<< Home