Fuentes de conocimiento y criterio.

Los marcos normativos, normas y estándares contienen requerimientos y guías de implementación para los Sistemas de Gestión de Seguridad de la Información (SGSI), pero no llegan a un alto nivel de detalle. En este artículo exponemos fuentes de conocimiento y criterio relevantes para materializar el SGSI.

DI LO QUE HACES + HAZ LO QUE DICES + DEMUÉSTRALO

Simplificando el proceso de implementación del SGSI, podemos establecer una fase documental (políticas, normativas, procedimientos, instrucciones técnicas) que constituyen el concepto “di lo que haces”, una fase de implementación de las medidas multidisciplinares que aporta  el concepto “haz lo que dices” (obviamente alineada con “di lo que haces”) y una fase de obtención de evidencias (registros, métricas, indicadores) que aporta el concepto “demuestra que haces lo que dices”. Podemos añadir una cuarta fase, asociada al requerimiento de mejora continua que toda norma certificable contiene, denominada “mejora todo lo anterior y dime cómo lo vas a hacer”.

¿HASTA DÓNDE LLEGAN LAS NORMAS?

Prisma documental

Desde el prisma documental no se plantea un problema significativo dado que todas las normas y marcos normativos disponen de un catálogo de documentos nucleares obligatorios y descripción de  su contenido mínimo, así como directrices para su aprobación, mantenimiento y divulgación.

Prisma organizativo

Desde el prisma organizativo también se dispone de requerimientos y criterios para definir una estructura organizativa alrededor del SGSI, siendo especialmente relevante en este sentido el Esquema Nacional de Seguridad (Real Decreto 311/2022 de 3 de mayo), marco normativo que especifica una estructura concreta con sus funciones y competencias (órgano competente, responsable de servicio, responsable de la información, responsable de seguridad y responsable de sistema) y posibles comités.

La norma ISO/IEC 27001:2022 no contiene especificaciones con este nivel de detalle, asignando a la “alta dirección” (top management) la tarea de asignar roles, responsabilidades y competencias relevantes para la seguridad de la información, dejando altos grados de libertad para definir la estructura organizativa.

Prisma técnico

El problema relacionado con posibles carencias de fuentes de información y criterio sobre “cómo hacerlo” se suscita, principalmente, en la implementación de las medidas técnicas.

INFORMACIÓN Y CRITERIO SOBRE “CÓMO HACERLO”

Documentación y soporte de fabricantes

Todos los fabricantes de componentes securizables disponen de documentación respecto de la securización de los mismos, y es una fuente prioritaria dado que asumen una alta responsabilización (“accountability”) y potencial indemnización (“liability”) ante incidentes achacables a problemas de seguridad, pero también por carencia de información sobre su securización que pudiera inhibir la activación de las medidas disponibles.

En este sentido, es muy recomendable (obligatorio en el ENS para categoría MEDIA y ALTA) la contratación de los denominados en el ENS “componentes certificados”, concepto que engloba los componentes incluidos en la Guía de Seguridad de las TIC CCN STIC 105 – Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación y también los productos certificados bajo Common Criteria, ya que, dentro del proceso de certificación, se evalúa también la disponibilidad y calidad de la documentación aportada con el componente.

Seguir Leyendo…

Renato Aquilino "ENS Continuidad" Revista Tecnología y Sentido Común #TYSC

Renato Aquilino

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad