Seguritecnia 372

42 SEGURITECNIA Febrero 2011 u organización es necesario analizar y gestionar los riesgos fundamentales a los que están expuestos. Una vez se han identificado estos ries- gos, es necesario establecer la estrategia a seguir para cada uno de ellos. En este sentido, las diferentes alternativas que tenemos para cada riesgo son: ▪ Evitar el riesgo, abandonando el pro- ceso o actividad que lo genera cuan- do el riesgo exceda a los beneficios que nos aporta. ▪ Traspasar el riesgo a terceros, por ejemplo, mediante cláusulas contrac- tuales o pólizas de seguros. ▪ Gestionar el riesgo, estableciendo contramedidas que mitiguen o limi- ten el riesgo, reduciendo la proba- bilidad de que se materialicen las consecuencias que de éste se puedan derivar. ▪ Asumir el riesgo, aceptándolo cuando el establecimiento de las contramedi- das supere el coste que pueda suponer la materialización del propio riesgo. Otro aspecto básico de la ISO 27001 es la gestión de la Seguridad de la Información mediante procesos basa- dos en el método de mejora continua Plan, Do, Check, Act (PDCA), también conocido como Círculo de Deming. Este método establece un procedi- miento cíclico mediante el cual se definen las medidas y controles de seguridad a implantar ( Plan ); se procede a su implanta- ción ( Do ); se verifica y evalúa el éxito de los controles implantados para detectar erro- res o áreas demejora ( Check ); y, finalmente, se modifican dichas medidas y controles en base a las desviaciones detectadas en el paso anterior ( Act ). Por otro lado, la ISO 27002 consiste en una guía de buenas prácticas que permi- ten a las organizaciones mejorar la segu- ridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones. Éstos se hallan distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones. Dominios de la ISO 27002 Estos dominios que estructura la ISO 27002 son: ▪ La política de seguridad. ▪ Los aspectos organizativos de la segu- ridad de la información. E s muy frecuente que todo aquél que se interesa por pri- mera vez en la serie ISO 27000 se encuentre con algún problema al de- limitar y entender las fronteras y los ám- bitos de las dos principales normas que la componen. El primer concepto que debemos tener claro para aclarar nuestras dudas es el de SGSI. Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la ges- tión de la seguridad de la información, bien de toda una organización o bien de uno o varios de sus procesos de negocio. Es importante tener siempre en mente que por Seguridad de la Información se entiende el triple vector de confidencialidad, integridad y dis- ponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes. Existen diversos estándares, marcos de trabajo o metodologías para implan- tar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO 27000. Este estándar internacional comprende todo un conjunto de normas relacionadas con la Seguridad de la Información, de entre las que destacan las más conoci- das: la ISO 27001 y la ISO 27002. Según mi experiencia, aquí es donde empieza el lío para aquellos que se enfrentan por primera vez a este están- dar. ¿Qué diferencias hay entre ambas o cómo se relacionan entre sí? Identificar riesgos En primer lugar, la ISO 27001 establece el marco de trabajo para definir un SGSI, centrándose en la visión de la gestión de la seguridad como un proceso continuo en el tiempo. Para certificar un proceso Omar Benjumea / Consultor de Seguridad de S21sec ¿Sabes diferenciar la ISO 27001 y la ISO 27002? El Círculo de Deming marca los procesos de mejora continua que se aplican a los Sistemas de Gestión de la Seguridad de la Información (SGSI), como en tantas otras dis- ciplinas. Seguridad de la Información