24 marzo 2010

ISO 27001 vs Esquema Nacional de Seguridad

Me llegaba a través de ISO27000.es un artículo de Manuel Díaz en Estrategia Magazine en el que reflexiona sobre la posible evolución del estándar ISO hacia una norma de obligado cumplimiento.

Lo que me ha llamado la atención del artículo ha sido el hecho de descubrir que en algunos países de Latinoamericana (en concreto, Perú y Colombia), los Gobiernos han tomado la determinación de hacer que esta familia de estándares sea de obligado cumplimiento:
  • Para la Administración Pública en el caso de Perú
  • Para sectores concretos en Colombia
Y me ha llamado la atención por la diferencia de enfoque con lo que hemos hecho aquí. Me explico: Hace unas semanas veía la luz el Esquema Nacional de Seguridad como norma de seguridad a aplicar en la Administración Pública que, en lugar de centrarse en determinar cuales deberían ser las medidas a aplicar en los distintos sistemas utilizados por la Administración o, al menos, unos criterios objetivos para el análisis de riesgos, ha  creado  una especie de ISO paralela que deja a criterio del que lo aplica la determinación exacta de medidas a aplicar en función de un análisis de riesgos.

¿No habría sido más fácil remitir a la norma para la aplicación de un SGSI? ¿Por qué hemos empleado recursos en desarrollar algo que ya estaba desarrollado? ¿No habría sido más efectivo centrarnos en realizar análisis de riesgos "tipo" para los distintos sistemas y determinar las medidas de seguridad para cada uno de esos "tipos"?

No hay comentarios: