Modelo: ISM3
¿PORQUE?
DE ORGANIZACIONES DE CUALQUIER TIPO Y TAMAÑO. LA VERSIÓN 2.3, CUYA TRADUCCIÓN AL CASTELLANO ESTÁ PREVISTA PARA JUNIO DE 2009, PERMITE HACER DE LA SEGURIDAD DE LA INFORMACIÓN UN PROCESO MEDIBLE MEDIANTE MÉTRICAS. ESTO PERMITE LA MEJORA CONTINUA, GRACIAS A QUE EL ESTÁNDAR DEFINE CRITERIOS PARA MEDIR LA EFICIENCIA Y CALIDAD. ADEMÁS, ENLAZA LOS CONCEPTOS DE MADUREZ Y MÉTRICAS, MOSTRANDO CÓMO LA GESTIÓN DE SEGURIDAD ES MÁS MADURA CUANTO MÁS SOFISTICADAS SON LAS PRÁCTICAS DE GESTIÓN.
Descripción de los elementos de protección:
Estandar: BS 17799
¿PORQUE ?
BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
¿Qué es la BS 17799?
La BS 17799 es una guía de buenas prácticas de seguridad informática quepresenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcandotodas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.
La BS 17799 es una guía de buenas prácticas de seguridad informática quepresenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcandotodas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.
¿Es certificable la BS 17799?
Definitivamente no. La BS 17799 sólo hace recomendacionessobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse.
Definitivamente no. La BS 17799 sólo hace recomendacionessobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse.
¿Por qué hay confusión en el tema de la certificación?
En gran parte se debe a los errores detraducción de la norma. El original en inglés de la BS 17799 usa la expresión verbal “should”, un término presente en algunas normas ISO y también del IETF, que por convención expresa una formacondicional a modo de recomendación y no de imposición.
En gran parte se debe a los errores detraducción de la norma. El original en inglés de la BS 17799 usa la expresión verbal “should”, un término presente en algunas normas ISO y también del IETF, que por convención expresa una formacondicional a modo de recomendación y no de imposición.
¿Si la BS 17799 no es certificable, ¿para qué sirve?
La BS 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1.Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. Los requisitosque se especifican de esta manera se refieren a un Plan de Seguridad constituido por un Sistema de Gestión de Seguridad Informática (SGSI), en el que se aplican los controles de seguridad de la BS7799-1 (y por lo tanto de la ISO 17799). Los requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y certificar. No hay versión ISO de la BS 7799-2.
¿Además de su capacidad de sercertificable, qué otras características tiene la BS 7799-2?
La BS 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1.Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. Los requisitosque se especifican de esta manera se refieren a un Plan de Seguridad constituido por un Sistema de Gestión de Seguridad Informática (SGSI), en el que se aplican los controles de seguridad de la BS7799-1 (y por lo tanto de la ISO 17799). Los requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y certificar. No hay versión ISO de la BS 7799-2.
¿Además de su capacidad de sercertificable, qué otras características tiene la BS 7799-2?
Modelo: ISM3
ISM3 es un modelo de seguridad muy nuevo, apenas esta en su version 1 y est=
an=20
nuevo que no hay organizacion que lo hubiese implementado todavia.
El modelo salio a mitad del a=F1o pasado.
Yo estoy a cargo de su version en espa=F1ol y de su utilizacion en Argentin=
a.
Resumiendo, cuales son las ventajas de ISM3:
* Es un modelo que permite ver los sistemas seguridad con una vision de=20
procesos.
* Permite definir el nivel de madurez de un sistema de seguridad.
* Es simple y flexible y se adapta a organizaciones cualquier indole.
* Puede ser aplicado sin o con sistema de seguridad implementado.
* Toma las ventajas y desecha las desventajas de otros modelos como 17799 y=
=20
CMMI, etc.
* Esta pensado para poder ser certificable a traves del sistema ISO 9000.
Que se esta buscando dentro del proyecto ISM3:
* Organizaciones que comiencen a adoptarlo.
* Expandir el modelo.
* Lograr ser certificable por ISO 9000.
* Evangelizar.
Modelo: ISM3
¿PORQUE?
DE ORGANIZACIONES DE CUALQUIER TIPO Y TAMAÑO. LA VERSIÓN 2.3, CUYA TRADUCCIÓN AL CASTELLANO ESTÁ PREVISTA PARA JUNIO DE 2009, PERMITE HACER DE LA SEGURIDAD DE LA INFORMACIÓN UN PROCESO MEDIBLE MEDIANTE MÉTRICAS. ESTO PERMITE LA MEJORA CONTINUA, GRACIAS A QUE EL ESTÁNDAR DEFINE CRITERIOS PARA MEDIR LA EFICIENCIA Y CALIDAD. ADEMÁS, ENLAZA LOS CONCEPTOS DE MADUREZ Y MÉTRICAS, MOSTRANDO CÓMO LA GESTIÓN DE SEGURIDAD ES MÁS MADURA CUANTO MÁS SOFISTICADAS SON LAS PRÁCTICAS DE GESTIÓN.
No hay comentarios.:
Publicar un comentario