ISM3 vs ISO27001
Enviado por Juan Fernandez • 22 de Abril de 2021 • Resúmenes • 800 Palabras (4 Páginas) • 474 Visitas
ISM3 vs ISO 27001
Cualquier sistema de gestión de la seguridad de la información o ISMS por su siglas en inglés (Information Security Management System), busca principalmente responder ante una organización a la siguiente pregunta: ¿Cómo integrar soluciones de seguridad independientes, bajo un marco común que esté alineado con los objetivos de negocio de la organización?.
La respuesta a esta complicada pregunta se trabajó mediante la creación de estándares los cuales pueden ser utilizados para construir el marco de trabajo que la organización requiere y así cumplir con sus objetivos desde un punto de vista de seguridad de la información a nivel organizacional. Uno de los marcos de trabajo más conocidos y reconocidos en el medio es el estándar ISO 27001, el cual tiene un enfoque dirigido a los controles los cuales dan un resultado de seguridad o inseguridad; mientras que el enfoque de ISM3 es un enfoque orientado al proceso, por lo que no se piensa en una seguridad absoluta, sino que se entiende que los errores y fallas siempre estarán presentes, por lo que no existe una seguridad al 100%.
Enfoque
Uno de los primeros análisis que se realizarán entre ambos modelos, estará relacionado con el enfoque.
El enfoque de ISO 27001 como ya lo hemos visto de forma rápida se basa en controles, cuyo objetivo principal es la implementación de uno o varios controles para la “mitigación” del riesgo asociado. En teoría la implementación de controles debería ser sencilla y como resultado se obtiene unos valores poco medibles como cumple o no cumple; pero desde la parte de gerencia del negocio, la mayoría de los controles ofrecidos no son “entendibles” por lo que esto puede retrasar seriamente su correcta implementación.
ISM3 por el contrario está enfocado en el proceso y que este esté orientado con los objetivos de negocio; por lo tanto no se centra tanto en la implementación del control; sino en cómo se refleja el desempeño de la organización gracias a la adopción de los controles; así la alta gerencia puede entender en término de negocio como se ve beneficiada la empresa con el mejoramiento continuo de la seguridad.
Como ejemplo comparativo, se puede decir que para un empresa su principal objetivo es ser rentable y para que una empresa sea rentable deberá contar con la mayora capacidad de operación disponible todo el tiempo posible. Si un ataque por virus informático disminuyera la capacidad de operación de la organización, entonces los niveles de rentabilidad disminuirían considerablemente.
Desde el punto de vista de ISO 27001, se tiene como control contar con sistemas de protección contra malware, lo cual quiere decir que el control aplica a la organización, la cual deberá contar con un sistema que cumpla con dichas características. Si la empresa cuenta con una u otra marca no es relevante, siempre que cumpla con el control.
Para ISM3, no se está orientando la organización a esperar que nunca se ingrese un malware por contar con un sistema de antivirus, antimalware en los equipos de la empresa. Se puede plantear por ejemplo que: El número de horas/hombre que se pueden perder debido a un ataque de malware en la organización durante el año deben ser menos de 10. Con este concepto la medición del rendimiento de la organización estará basado en este objetivo, por lo que si se consigue se podrá disminuir el número de horas pérdidas para el siguiente año, incrementando la seguridad de su organización.
...