Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejando los seis restantes para la parte II del mismo.

En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: - SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System). - Valoración de riegos (Risk Assesment) - Controles” De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo.

El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente.

A.5 Política de seguridad

A.6 Organización de la información de seguridad

A.7 Administración de recursos

A.8 Seguridad de los recursos humanos

A.9 Seguridad física y del entorno

A.10 Administración de las comunicaciones y operaciones

A.11 Control de accesos

A.12 Adquisición de sistemas de información, desarrollo y mantenimiento

A.13 Administración de los incidentes de seguridad

A.14 Administración de la continuidad de negocio

A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)

Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma:

hablemos de una de ellos :

A.5 Política de seguridad.

Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)……….como se mencionó “un Control es mucho (pero mucho), mas que eso…” Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando. La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos: ISO-27001: Los Controles Alejandro Corletti Estrada Página 4 de 9 - Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. - Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir

Nota:si quieres mirar mas detalladamente este tema

http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_I.pdf