[HACK] Nuevo estándar para la gestión de la seguridad de la información
Vicente Aceituno
aceituno at yahoo.com
Thu Sep 2 12:30:50 CEST 2004
La publicación del ISM3 (Information Security
Management Maturity Model) ofrece un Nuevo enfoque de
los sistemas de gestión de seguridad de la información
(ISM). ISM3 nace en parte por el contraste existente
entre el número de organizaciones certificadas ISO9000
(unas 350,000), y las certificadas BS7799-2:2002 (unos
cientos en todo el mundo). ISM3 pretende cubrir la
necesidad de un estándar simple y aplicable de calidad
para sistemas de gestión de la seguridad de la
información. ISM proporciona un marco para ISM que
puede utilizarse tanto por pequeñas organizaciones que
realizan sus primeros esfuerzos, como a un nivel alto
de sofisticación por grandes organizaciones como parte
de sus procesos de seguridad de la información.
Al igual que otros estándares del ISECOM, ISM3 se
proporciona con una licencia de “código libre”, tiene
una curva de aprendizaje suave, y puede utilizarse
para fortalecer sistemas ISM en organizaciones que
utilicen estándares como COBIT, ITIL, CMMI y ISO17799.
Está estructurado en niveles de madurez, de modo que
cada organización puede elegir un nivel adecuado para
su negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de métodos caros
de análisis de riesgos, que suponen una barrera a la
implantación de sistemas de ISM, ISM3 sigue un punto
de vista cualitativa, empezando por analizar los
requerimientos de seguridad del negocio. Permite a la
empresa aprovechar la infraestructura actual,
fortaleciéndola mediante un sistema de calidad, y
alcanzado niveles de madurez certificables según el
sistema de ISM evoluciona.
Utiliza un modelo de gestión para diferenciar las
tareas de seguridad operativa que previenen y mitigan
incidentes del tareas estratégicas y tácticas que
identifican los activos a proteger, las medidas de
seguridad a emplear, y los recursos que han de
dedicarse a estas. Se describe un proceso de
certificación que permite a una organización
autoevaluar su madurez, o bien obtener una
certificación de un auditor independiente.
ISM3 está disponible en:
http://www.isecom.org/projects/ism3.shtml
El Instituto para la Seguridad y las Metodologías
Abiertas (ISECOM) es una iniciativa internacional sin
ánimo de lucro dedicada a definir estándares técnicos
y éticos en seguridad de la información desde Enero de
2001. El equipo está compuesto de voluntarios, y
soportado por un panel de directores, consejero y un
administrador regional.
Vicente Aceituno, el autor de ISM3, es un consultor de
seguridad de la información. Su primer libro
“Seguridad de la Información”, Editorial
CreacionesCopyright fue publicado recientemente.
=====
Para hacer tu ordenador de casa más seguro consulta mi página:
http://seguridaddelainformacion.net/
_______________________________
Do you Yahoo!?
Win 1 of 4,000 free domain names from Yahoo! Enter now.
http://promotions.yahoo.com/goldrush
More information about the hacking
mailing list