Read in english
Hay diversos estándares o normas que se refieren a la seguridad TI. El más famoso, evidentemente, es la colección ISO27000. En ella nos encontramos con la norma principal, la ISO27001, donde tenemos los requisitos para un SGSI (Sistema de Gestión de la Seguridad de la Información).
Tenemos, de esta manera, un estándar con el que poder guiarnos para hacer los controles de seguridad necesarios para... ¡cuidado! Tenemos que definir muy bien el alcance. Pero vuelvo a mi terreno favorito: la gestión de los servicios. Dentro de la ISO20000 ya tenemos un proceso de gestión de la seguridad de la información. ¿Para qué quiero otro?
Básicamente, la ISO20000 nos dice que hay que tener una política de seguridad (con sus requisitos), que hay que tener controles de seguridad de la información (con sus requisitos) y hay que gestionar los incidentes y cambios de seguridad (con sus requisitos). ¿Pero cómo?
La ISO27001 nos dice qué requisitos deben cumplir esos controles de seguridad, que hay que establecer un SGSI, que hay que llevar una documentación, y nos da una guía en su anexo A que viene muy bien, especialmente para saber cómo hay que auditar el SGSI.
¿Y cómo fusiono la ISO27001 y la ISO20000? Imaginemos que la primera es parte de la segunda, como si tuviésemos una sola ISO, tomémoslo como un proyecto de unificación y la organización habrá dado un paso de gigante.
Pero: mucho cuidado con el alcance. No se puede hacer magia, todo tiene que estar bien definido; y un ciclo unificado de Deming (PDCA), que en esta ocasión tendrá dos engranajes, rodará.
Read in spanish
There are different standards related to IT security. The most famous, of course, is the ISO27000 collection. Inside we find the main standard, ISO27001, where we have the requirements for an ISMS (Information Security System Management) .
We, in this way, have a standard with which guide us to make the necessary security controls for... careful! We need to clearly define the scope. But I go back to my favorite subject: the services management. In ISO20000 we have a process information securitz management. What should I want another?
Basically, ISO20000 tells us that we must have a security policy (with its requirements), security controls information (with its requirements) and must manage security incidents and changes (with its requirements). But how?
The ISO27001 tell us what requirements must meet these security controls, that we have to establish an ISMS, that we have to generate and take care of its documentation, and gives us a guide in Annex A which comes in handy, especially for knowing how to audit the ISMS.
And how can I merge the ISO27001 and ISO20000? Imagine the first as part of the second, as if we had only one ISO, lets take it as a project to unify the management system and the organization will have taken a big step.
But: be careful with the scope. We are no wizards, everything has to be well defined; and a unified Deming cycle (PDCA), which this time will have two gears, will roll.
