SlideShare una empresa de Scribd logo
1 de 5
Descargar para leer sin conexión
Problemática, ventajas y desventajas de ISO-27001 en PyMEs. 
(por Alejandro Corletti: acorletti@ncs-spain.com) 
En estas líneas, continuando con los artículos sobre ISO-27001, trataremos de presentar 
el lado bueno y el “oscuro” de la norma. Pero para no perder la esperanza, lo haremos 
primero, dando a conocer la forma de resolver la problemática, para mantener le fe. 
Luego, incrementaremos la ilusión a través de las ventajas que ofrece. Y por último 
(casi en letras pequeñas) daremos un par de desventajas, para que no pensemos que es 
todo perfecto en esta vida. 
PROBLEMÁTICA 
Tal vez la mayor problemática que posea una PyMEs para encarar ISO-27001, es lograr convencer 
a su Directorio de la importancia que revista todo el proceso de implementación de la misma. 
El discurso más eficiente parte, sin lugar a dudas, de los dos mayores argumentos que diferencian 
ISO-27001 de ISO-17799, pues el resto es lo que tienen en común, es decir los “controles” (que hoy 
ya se denominan ISO-27002). Estos controles, son sencillamente varios grupos de medidas 
técnicas, que como corresponde, no convencen a ningún director (pues, con mis mayores respetos, 
no saben de lo que le estamos hablando). Estos dos “nuevos” argumentos SÍ convencen a los 
cargos jerárquicos, son propios del lenguaje gerencial. Ya los hemos mencionado en otras 
oportunidades, y son: 
• El análisis de Riesgo (AR) 
• La puesta en funcionamiento de un verdadero SGSI (Sistema de Gestión de la Seguridad de 
la Información) 
A continuación avanzamos un poco más en ambos. 
a. El análisis de riesgo. 
Es la secuencia natural para obtener resultados del análisis de riesgo, es: 
- La identificación, definición, descripción y valoración de los activos. 
- El cálculo de impacto (debilidades, riesgo, grado de exposición, popularidad, 
criticidad, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos. 
- El riesgo concreto que se posee de producirse determinados hechos. 
- Las salvaguardas que se pueden aplicar para minimizar el riesgo. 
- Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o 
área). 
- Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al 
de mínima). 
- Finalmente: Elección y Aprobación de un curso de acción por parte de la 
Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia 
(Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y 
ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el 
máximo nivel de la empresa (o en definitiva a pagar….).
Desde NCS hemos comprobado y vivido fehacientemente, que último paso que se trató es el más 
importante de todos, pues recién a partir de este, se puede iniciar el conjunto de medidas para 
minimizar los riesgos, y a su vez para ir solucionando los impactos que SÍ este dispuesta a abordar 
la Dirección (“por escrito”: Declaración de intenciones). Lo cual dará como resultado un nuevo 
análisis de riesgo, para ver como evolucionaron las acciones, y los nuevos riesgos residuales….y las 
nuevas decisiones estratégicas……….y las nuevas acciones……….y las nuevas mejoras……….y 
las nuevas…………..al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA. 
Jamás debe olvidarse: La Alta Dirección, no tiene por qué tener la menor idea de los 
aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique 
tiempo a aprender estas cosas. hasta es mejor que juegue al golf y allí concrete grandes negocios.). 
Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de 
la empresa. 
Y ahí sí sabrá elegir cual es el mejor curso de acción, que deberá adoptar para su 
negocio global (si se lo hemos sabido presentar debidamente......). 
Por lo tanto el trabajo importante es saber resumir/concretar el 
trabajo, de muchas semanas o meses que conlleva esta tarea, entre tres 
a seis CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, 
encontrar todos los medios de llevar adelante esta determinación (y por 
supuesto, generar el correspondiente “feedback”). 
El discurso final y convincente del AR, se logra cuando se ha sabido llegar a identificar 
claramente los “Procesos de negocio”, y sobre ellos centrar la máxima atención de seguridad. 
Esto es lo que da de comer a la empresa, y todo directorio necesita dormir tranquilo sobre ellos. 
Por lo tanto, si esto se ha hecho bien, tenemos grandes posibilidades de haber ganado esta 
“primer batalla”, logrando que a través del curso de acción que la Dirección haya elegido, 
podamos empezar nuestro trabajo. 
b. SGSI. 
La segunda estrategia para obtener el éxito de nuestra problemática, pasa por el SGSI, el cual 
como su nombre lo indica, es un proceso de gestión, cosa que también conoce con alto grado de 
detalle un director. 
Lo mejor que podemos hacer es respetar estrictamente lo que propone la norma como PDCA 
(Plan-Do-Check-Act), y asegurar que desde el primer día el sistema entrará en “Rodaje”. Esto 
implica que se pueden planificar seriamente sus acciones, hitos y evolución. Si se sabe presentar 
bien el SGSI, este es otro logro, pues un sistema que “rueda”, a través de los ciclos que va 
sufriendo, puede demostrar con máxima eficiencia su evolución la cual, en términos jerárquicos 
de la empresa. Indica claramente, cómo se emplean los recursos que nos dieron. A través de 
cuadros de mando, pueden verificar cuantitativamente si se están empleando con corrección los 
mismos, cosa que en nuestro trabajo diario en seguridad, se nos suele hacer muy difícil de 
“poner en el escaparate directivo”. Es decir, los planteos que ISO-27001 hace para implementar 
un SGSI, son discursos netamente convincentes. 
VENTAJAS. 
Se debe tener en cuenta que la seguridad al 100% no existe. La norma establece una metodología y 
una serie de medidas que al menos busca una mejora continua y que, sin lugar a dudas, aumentará el 
porcentaje actual de cualquier empresa. Esta mejora en la seguridad se ve reflejada en una serie de 
ventajas que se describen a continuación.
Competitividad (Para ser sinceros) 
Si se trata de ser sinceros……este es el primer factor que le interesa a cualquier empresa. 
Esta norma, como se mencionó varias veces, será en el mediano plazo Europeo, tan 
importante como hoy lo es ISO 9000. Es decir, poco a poco las grandes empresas, los 
clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas 
con cualquier PyME. Es natural y lógico que así sea, pues es el único modo que puede 
garantizar un equilibrio en las medidas de seguridad entre esas partes. Y para decirlo 
crudamente, quien no la tenga, se quedará afuera. 
Ahorro económico (¿¿¿….???) (¿Será el segundo factor en importancia?) 
Las medidas contra incendios: ¿Son un coste o una inversión?, ¿Cuánto vale la pérdida de 
información? 
Es muy difícil cuantificar este concepto, pero cualquier empresario que sea consciente del 
coste que poseen sus sistemas informáticos, sabe fehacientemente, que cualquier daño, 
caída, pérdida, robo, falsificación, suplantación, fallo, error, inconsistencia, virus, demora, 
saturación, escucha, intrusión, acceso erróneo, respuesta errónea, atentado, 
catástrofe………..puede ser grave. Lo sabe, es más, le teme no sólo al daño concreto, sino a 
la pérdida potencial que esto implica: imagen, difusión, desconfianza, pérdida de negocios e 
inversiones, etc. La certificación, reduce enormemente estas situaciones. 
La implementación de la norma, implica una visión de detalle de los sistemas, lo cual hará 
que las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través 
del AR, por lo tanto no habrá gastos innecesarios, inesperados, ni sobredimensionados. Se 
evitan muchos errores o se detectan a tiempo gracias a los controles adecuados; y si se 
producen, se cuenta con los planes de incidencias para dar respuesta efectiva y en el tiempo 
mínimo. Se evita fuga de información o dependencia con personas internas y externas. 
Calidad a la seguridad 
La implementación de un verdadero SGSI, transforma la seguridad en una actividad de 
gestión. Este concepto por trivial que parezca es trascendente, pues deja de lado un 
conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de 
vida metódico y controlado. Es lo que se mencionó al principio, pone “calidad a la 
seguridad”, que en definitiva, “calidad” es lo que se busca y exige hoy en toda empresa 
seria. 
Reduce riesgos 
Partiendo del AR que impone la norma, hasta la implementación de los controles, el 
conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error 
humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el 
manejo de información. 
Concienciación y compromiso 
El estándar crea conciencia y compromiso de seguridad en todos los niveles de la empresa, 
no solo al implantarla, sino que será permanente pues se rata de un ciclo. 
Cumplimiento de la legislación vigente 
Todos los aspectos de conformidades legales de la norma, deben responder a la legislación 
del País, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación, garantiza
este hecho y a su vez seguramente cree un marco legal que protegerá a la empresa en 
muchos flancos que antes no los tenía cubiertos. 
Visión externa y metódica del sistema 
Todo el trabajo realizado para la implementación de la norma, implica una serie de medidas 
de auditoría interna que ofrecen ya de por sí un importante valor agregado, cada una de ellas 
responde a una secuencia metódica de controles. Un aspecto a considerar de este trabajo es 
la tensión y responsabilidad que impone al personal de la empresa, el hecho de estar 
pendientes de una futura certificación, como objetivo común. A su vez, llegado el 
momento de la certificación, los auditores, siguiendo los mismos pasos, darán una visión 
externa, independiente y totalmente ajena a la rutina de la empresa, que siempre aporta 
muchos elementos de juicio y acciones de mejora. 
Supervivencia de mercado 
Según un artículo publicado en ComputerWeekly, uno de los principales motores que están 
llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de 
sugerencias al proveedor respecto a estar certificado en esta norma. 
cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el 
sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 
27001 de Seguridad de la Información. 
De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor 
de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que 
no la tenga." 
Por tanto y como nueva motivación, la certificación de la seguridad puede ser una 
oportunidad de negocio más que un coste. 
DESVENTAJAS. 
Al iniciar este conjunto de tareas, no cabe duda que se está sobrecargando el ritmo habitual de 
trabajo de toda la organización por lo tanto se debe ser conciente que exigirá un esfuerzo adicional. 
Los que sufren estos incrementos son las personas, por lo tanto somos nosotros mismos los 
primeros en encontrarle y descubrirle las desventajas a ISO-27001, sobre todo antes de tomar la 
decisión de su lanzamiento, pues una vez encaminado: 
No tiene retorno 
Una vez que se ha empezado el camino de implementación de la norma ISO-27001, tenemos 
la opción de certificar o no. Sea cual fuere la elección, el cúmulo de actividades realizadas 
exige un mantenimiento y mejora continua, sino deja de ser un SGSI, y ello salta a la vista 
en el muy corto plazo. Es decir no se puede dejar de lado, pues al abandonar un cierto 
tiempo el SGSI, requerirá un esfuerzo similar a lanzarlo de nuevo. 
Si a su vez se obtiene la certificación, para que la misma se mantenga en vigencia, 
anualmente debe ser auditada por la empresa certificadora. 
Requiere esfuerzo continuo 
Independientemente de las tareas periódicas que implica una vez lanzado el SGSI para los 
administradores del mismo, El mantenimiento del nivel alcanzado, requerirá 
inexorablemente es esfuerzo continuo de toda la organización al completo.
 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es

Más contenido relacionado

La actualidad más candente

Administración Del Riesgo Operacional
Administración Del Riesgo OperacionalAdministración Del Riesgo Operacional
Administración Del Riesgo OperacionalJuan Carlos Fernández
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo  10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo Foro Global Crossing
 
Confiabilidad Operacional
Confiabilidad OperacionalConfiabilidad Operacional
Confiabilidad Operacionalbeatrizbc09
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasMaricarmen García de Ureña
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
055 analisis de faltante sms rev1
055 analisis de faltante sms rev1055 analisis de faltante sms rev1
055 analisis de faltante sms rev1wzamprogno2001
 
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...Asegurando la Supervivencia de la Organización desde los Centros de Procesami...
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...Asociación de Marketing Bancario Argentino
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadalexia almonte
 
María arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMaría arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMary2524
 
Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionGabrielaMartinez728
 
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...LTDH2013
 
Seis sigma
Seis sigmaSeis sigma
Seis sigmaLiz_nena
 
Riesgos materiales bhp
Riesgos materiales bhpRiesgos materiales bhp
Riesgos materiales bhpRoberto Salas
 

La actualidad más candente (20)

Metodologia six sigma
Metodologia six sigmaMetodologia six sigma
Metodologia six sigma
 
Administración Del Riesgo Operacional
Administración Del Riesgo OperacionalAdministración Del Riesgo Operacional
Administración Del Riesgo Operacional
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo  10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
 
Confiabilidad Operacional
Confiabilidad OperacionalConfiabilidad Operacional
Confiabilidad Operacional
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
DRP DISASTER RECOVERY PLAN
DRP DISASTER RECOVERY PLANDRP DISASTER RECOVERY PLAN
DRP DISASTER RECOVERY PLAN
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externas
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Expo crosby
Expo crosbyExpo crosby
Expo crosby
 
055 analisis de faltante sms rev1
055 analisis de faltante sms rev1055 analisis de faltante sms rev1
055 analisis de faltante sms rev1
 
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...Asegurando la Supervivencia de la Organización desde los Centros de Procesami...
Asegurando la Supervivencia de la Organización desde los Centros de Procesami...
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridad
 
María arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMaría arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bim
 
Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacion
 
Six Sigma
Six SigmaSix Sigma
Six Sigma
 
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...
Sesión técnica, sala ATASTA, El octavo pecado capital, la inseguridad de las ...
 
3759 2535-1-pb
3759 2535-1-pb3759 2535-1-pb
3759 2535-1-pb
 
Seis sigma
Seis sigmaSeis sigma
Seis sigma
 
Riesgos materiales bhp
Riesgos materiales bhpRiesgos materiales bhp
Riesgos materiales bhp
 

Similar a 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
207719100-iso-27001-y-las-py m-es
 207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-esxavazquez
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridadMario Cano Herrera
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Alejandro Corletti Estrada
 
RIESGO OPERATIVO /SEMANA 9
RIESGO OPERATIVO /SEMANA 9RIESGO OPERATIVO /SEMANA 9
RIESGO OPERATIVO /SEMANA 9Linda Linda
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.Sole Leraguii
 
Eficiencia, eficacia y seguridad de la aud de sistemas
Eficiencia, eficacia y seguridad de la aud de sistemasEficiencia, eficacia y seguridad de la aud de sistemas
Eficiencia, eficacia y seguridad de la aud de sistemasluisteheranllorente
 
Capitulo I CNTOL DE OPR
Capitulo I CNTOL DE OPR Capitulo I CNTOL DE OPR
Capitulo I CNTOL DE OPR AGMisael
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 

Similar a 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es (20)

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
207719100-iso-27001-y-las-py m-es
 207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridad
 
Deming
DemingDeming
Deming
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Prevencion de perdidas
Prevencion de perdidasPrevencion de perdidas
Prevencion de perdidas
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
RIESGO OPERATIVO /SEMANA 9
RIESGO OPERATIVO /SEMANA 9RIESGO OPERATIVO /SEMANA 9
RIESGO OPERATIVO /SEMANA 9
 
Ensayo
EnsayoEnsayo
Ensayo
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.
 
Eficiencia, eficacia y seguridad de la aud de sistemas
Eficiencia, eficacia y seguridad de la aud de sistemasEficiencia, eficacia y seguridad de la aud de sistemas
Eficiencia, eficacia y seguridad de la aud de sistemas
 
Capitulo I CNTOL DE OPR
Capitulo I CNTOL DE OPR Capitulo I CNTOL DE OPR
Capitulo I CNTOL DE OPR
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 

Más de xavazquez

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24xavazquez
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23xavazquez
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22xavazquez
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21xavazquez
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20xavazquez
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19xavazquez
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18xavazquez
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17xavazquez
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16xavazquez
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15xavazquez
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14xavazquez
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13xavazquez
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12xavazquez
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11xavazquez
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10xavazquez
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09xavazquez
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08xavazquez
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07xavazquez
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06xavazquez
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05xavazquez
 

Más de xavazquez (20)

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05
 

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es

  • 1. Problemática, ventajas y desventajas de ISO-27001 en PyMEs. (por Alejandro Corletti: acorletti@ncs-spain.com) En estas líneas, continuando con los artículos sobre ISO-27001, trataremos de presentar el lado bueno y el “oscuro” de la norma. Pero para no perder la esperanza, lo haremos primero, dando a conocer la forma de resolver la problemática, para mantener le fe. Luego, incrementaremos la ilusión a través de las ventajas que ofrece. Y por último (casi en letras pequeñas) daremos un par de desventajas, para que no pensemos que es todo perfecto en esta vida. PROBLEMÁTICA Tal vez la mayor problemática que posea una PyMEs para encarar ISO-27001, es lograr convencer a su Directorio de la importancia que revista todo el proceso de implementación de la misma. El discurso más eficiente parte, sin lugar a dudas, de los dos mayores argumentos que diferencian ISO-27001 de ISO-17799, pues el resto es lo que tienen en común, es decir los “controles” (que hoy ya se denominan ISO-27002). Estos controles, son sencillamente varios grupos de medidas técnicas, que como corresponde, no convencen a ningún director (pues, con mis mayores respetos, no saben de lo que le estamos hablando). Estos dos “nuevos” argumentos SÍ convencen a los cargos jerárquicos, son propios del lenguaje gerencial. Ya los hemos mencionado en otras oportunidades, y son: • El análisis de Riesgo (AR) • La puesta en funcionamiento de un verdadero SGSI (Sistema de Gestión de la Seguridad de la Información) A continuación avanzamos un poco más en ambos. a. El análisis de riesgo. Es la secuencia natural para obtener resultados del análisis de riesgo, es: - La identificación, definición, descripción y valoración de los activos. - El cálculo de impacto (debilidades, riesgo, grado de exposición, popularidad, criticidad, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos. - El riesgo concreto que se posee de producirse determinados hechos. - Las salvaguardas que se pueden aplicar para minimizar el riesgo. - Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o área). - Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al de mínima). - Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el máximo nivel de la empresa (o en definitiva a pagar….).
  • 2. Desde NCS hemos comprobado y vivido fehacientemente, que último paso que se trató es el más importante de todos, pues recién a partir de este, se puede iniciar el conjunto de medidas para minimizar los riesgos, y a su vez para ir solucionando los impactos que SÍ este dispuesta a abordar la Dirección (“por escrito”: Declaración de intenciones). Lo cual dará como resultado un nuevo análisis de riesgo, para ver como evolucionaron las acciones, y los nuevos riesgos residuales….y las nuevas decisiones estratégicas……….y las nuevas acciones……….y las nuevas mejoras……….y las nuevas…………..al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA. Jamás debe olvidarse: La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas. hasta es mejor que juegue al golf y allí concrete grandes negocios.). Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de la empresa. Y ahí sí sabrá elegir cual es el mejor curso de acción, que deberá adoptar para su negocio global (si se lo hemos sabido presentar debidamente......). Por lo tanto el trabajo importante es saber resumir/concretar el trabajo, de muchas semanas o meses que conlleva esta tarea, entre tres a seis CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, encontrar todos los medios de llevar adelante esta determinación (y por supuesto, generar el correspondiente “feedback”). El discurso final y convincente del AR, se logra cuando se ha sabido llegar a identificar claramente los “Procesos de negocio”, y sobre ellos centrar la máxima atención de seguridad. Esto es lo que da de comer a la empresa, y todo directorio necesita dormir tranquilo sobre ellos. Por lo tanto, si esto se ha hecho bien, tenemos grandes posibilidades de haber ganado esta “primer batalla”, logrando que a través del curso de acción que la Dirección haya elegido, podamos empezar nuestro trabajo. b. SGSI. La segunda estrategia para obtener el éxito de nuestra problemática, pasa por el SGSI, el cual como su nombre lo indica, es un proceso de gestión, cosa que también conoce con alto grado de detalle un director. Lo mejor que podemos hacer es respetar estrictamente lo que propone la norma como PDCA (Plan-Do-Check-Act), y asegurar que desde el primer día el sistema entrará en “Rodaje”. Esto implica que se pueden planificar seriamente sus acciones, hitos y evolución. Si se sabe presentar bien el SGSI, este es otro logro, pues un sistema que “rueda”, a través de los ciclos que va sufriendo, puede demostrar con máxima eficiencia su evolución la cual, en términos jerárquicos de la empresa. Indica claramente, cómo se emplean los recursos que nos dieron. A través de cuadros de mando, pueden verificar cuantitativamente si se están empleando con corrección los mismos, cosa que en nuestro trabajo diario en seguridad, se nos suele hacer muy difícil de “poner en el escaparate directivo”. Es decir, los planteos que ISO-27001 hace para implementar un SGSI, son discursos netamente convincentes. VENTAJAS. Se debe tener en cuenta que la seguridad al 100% no existe. La norma establece una metodología y una serie de medidas que al menos busca una mejora continua y que, sin lugar a dudas, aumentará el porcentaje actual de cualquier empresa. Esta mejora en la seguridad se ve reflejada en una serie de ventajas que se describen a continuación.
  • 3. Competitividad (Para ser sinceros) Si se trata de ser sinceros……este es el primer factor que le interesa a cualquier empresa. Esta norma, como se mencionó varias veces, será en el mediano plazo Europeo, tan importante como hoy lo es ISO 9000. Es decir, poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME. Es natural y lógico que así sea, pues es el único modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Y para decirlo crudamente, quien no la tenga, se quedará afuera. Ahorro económico (¿¿¿….???) (¿Será el segundo factor en importancia?) Las medidas contra incendios: ¿Son un coste o una inversión?, ¿Cuánto vale la pérdida de información? Es muy difícil cuantificar este concepto, pero cualquier empresario que sea consciente del coste que poseen sus sistemas informáticos, sabe fehacientemente, que cualquier daño, caída, pérdida, robo, falsificación, suplantación, fallo, error, inconsistencia, virus, demora, saturación, escucha, intrusión, acceso erróneo, respuesta errónea, atentado, catástrofe………..puede ser grave. Lo sabe, es más, le teme no sólo al daño concreto, sino a la pérdida potencial que esto implica: imagen, difusión, desconfianza, pérdida de negocios e inversiones, etc. La certificación, reduce enormemente estas situaciones. La implementación de la norma, implica una visión de detalle de los sistemas, lo cual hará que las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través del AR, por lo tanto no habrá gastos innecesarios, inesperados, ni sobredimensionados. Se evitan muchos errores o se detectan a tiempo gracias a los controles adecuados; y si se producen, se cuenta con los planes de incidencias para dar respuesta efectiva y en el tiempo mínimo. Se evita fuga de información o dependencia con personas internas y externas. Calidad a la seguridad La implementación de un verdadero SGSI, transforma la seguridad en una actividad de gestión. Este concepto por trivial que parezca es trascendente, pues deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. Es lo que se mencionó al principio, pone “calidad a la seguridad”, que en definitiva, “calidad” es lo que se busca y exige hoy en toda empresa seria. Reduce riesgos Partiendo del AR que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información. Concienciación y compromiso El estándar crea conciencia y compromiso de seguridad en todos los niveles de la empresa, no solo al implantarla, sino que será permanente pues se rata de un ciclo. Cumplimiento de la legislación vigente Todos los aspectos de conformidades legales de la norma, deben responder a la legislación del País, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación, garantiza
  • 4. este hecho y a su vez seguramente cree un marco legal que protegerá a la empresa en muchos flancos que antes no los tenía cubiertos. Visión externa y metódica del sistema Todo el trabajo realizado para la implementación de la norma, implica una serie de medidas de auditoría interna que ofrecen ya de por sí un importante valor agregado, cada una de ellas responde a una secuencia metódica de controles. Un aspecto a considerar de este trabajo es la tensión y responsabilidad que impone al personal de la empresa, el hecho de estar pendientes de una futura certificación, como objetivo común. A su vez, llegado el momento de la certificación, los auditores, siguiendo los mismos pasos, darán una visión externa, independiente y totalmente ajena a la rutina de la empresa, que siempre aporta muchos elementos de juicio y acciones de mejora. Supervivencia de mercado Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma. cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga." Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. DESVENTAJAS. Al iniciar este conjunto de tareas, no cabe duda que se está sobrecargando el ritmo habitual de trabajo de toda la organización por lo tanto se debe ser conciente que exigirá un esfuerzo adicional. Los que sufren estos incrementos son las personas, por lo tanto somos nosotros mismos los primeros en encontrarle y descubrirle las desventajas a ISO-27001, sobre todo antes de tomar la decisión de su lanzamiento, pues una vez encaminado: No tiene retorno Una vez que se ha empezado el camino de implementación de la norma ISO-27001, tenemos la opción de certificar o no. Sea cual fuere la elección, el cúmulo de actividades realizadas exige un mantenimiento y mejora continua, sino deja de ser un SGSI, y ello salta a la vista en el muy corto plazo. Es decir no se puede dejar de lado, pues al abandonar un cierto tiempo el SGSI, requerirá un esfuerzo similar a lanzarlo de nuevo. Si a su vez se obtiene la certificación, para que la misma se mantenga en vigencia, anualmente debe ser auditada por la empresa certificadora. Requiere esfuerzo continuo Independientemente de las tareas periódicas que implica una vez lanzado el SGSI para los administradores del mismo, El mantenimiento del nivel alcanzado, requerirá inexorablemente es esfuerzo continuo de toda la organización al completo.