http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/ Aquello que no te mata... debería hacerte más fuerte ;) Sun, 27 Nov 2011 01:12:48 +0000 hourly 1 http://wordpress.org/?v=3.2.1 http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/comment-page-1/#comment-71 Samuel Fri, 04 Apr 2008 08:28:15 +0000 http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/#comment-71 Muchas gracias por tu comentario Javier. Como decía mi abuela: "iremos viendo y andando" :) Muchas gracias por tu comentario Javier. Como decía mi abuela: “iremos viendo y andando”

]]> http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/comment-page-1/#comment-70 javier cao Thu, 03 Apr 2008 17:28:18 +0000 http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/#comment-70 Pues yo también comparto tu preocupación, sobre todo pensando en el actual panorama de entidades de certificación donde las hay acreditadas y sin acreditar. Se supone que la misión de las entidades de acreditación es controlar a las entidades de certificación. Por lo que nos han comentado, bajo el esquema UKAS hay ciertos alcances que no son admisibles de certificar ISO 27001, sobre todo, cuando la parte de la organización que pretende certificarse no tiene relación directa con los procesos esenciales de negocio de la misma. Un ISP no debería poder certificar solamente su sistema de control de accesos al CPD solamente, dado que la seguridad física de las instalaciones es una parte muy reducida de los servicios que proporciona. Esperemos que tus temores (que comparto) no se hagan realidad. He hecho ya una auditoría bajo el rol de auditor interno para una empresa revisando el SGSI y las auditorías de seguimiento de una entidad de certificación y he visto cosas que supuestamente deberían haber impedido otorgar el sello. Como es un caso de uno, no quiero ni debo extrapolar resultados pero el tiempo dirá. Al final, los más perjudicados son las empresas que por pensar que tienen un sello se crean "seguras" y luego se vean sorprendidas por incidentes que impidan su continuidad de negocio. Si una empresa tiene un sello de calidad pero sus productos no la tienen, puede perder clientes. Si una empresa tiene un sello de seguridad pero sus sistemas no lo son, puede que no sobreviva a un incidente. Pues yo también comparto tu preocupación, sobre todo pensando en el actual panorama de entidades de certificación donde las hay acreditadas y sin acreditar.
Se supone que la misión de las entidades de acreditación es controlar a las entidades de certificación. Por lo que nos han comentado, bajo el esquema UKAS hay ciertos alcances que no son admisibles de certificar ISO 27001, sobre todo, cuando la parte de la organización que pretende certificarse no tiene relación directa con los procesos esenciales de negocio de la misma. Un ISP no debería poder certificar solamente su sistema de control de accesos al CPD solamente, dado que la seguridad física de las instalaciones es una parte muy reducida de los servicios que proporciona.
Esperemos que tus temores (que comparto) no se hagan realidad. He hecho ya una auditoría bajo el rol de auditor interno para una empresa revisando el SGSI y las auditorías de seguimiento de una entidad de certificación y he visto cosas que supuestamente deberían haber impedido otorgar el sello. Como es un caso de uno, no quiero ni debo extrapolar resultados pero el tiempo dirá. Al final, los más perjudicados son las empresas que por pensar que tienen un sello se crean “seguras” y luego se vean sorprendidas por incidentes que impidan su continuidad de negocio. Si una empresa tiene un sello de calidad pero sus productos no la tienen, puede perder clientes. Si una empresa tiene un sello de seguridad pero sus sistemas no lo son, puede que no sobreviva a un incidente.

]]> http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/comment-page-1/#comment-56 Juan Fri, 29 Feb 2008 10:48:34 +0000 http://blog.infosecman.com/2008/02/28/desvirtuando-el-valor-de-una-norma/#comment-56 En parte NO coincido con lo escrito, la ISO 27001 es una certificacion muy distinta de las otras por ejemplo ISO 9001, son publicos muchos casos de empresas que por hacer publico que certificaron fueron puntos de ataque de muchas fuentes simultaneas. Hay varias empresas que certificaron y nos les interesa difundir esta certificacion por que no genera tante "chapa, imagen, etc" como una ISO de calidad pro ejemplo. En parte NO coincido con lo escrito, la ISO 27001 es una certificacion muy distinta de las otras por ejemplo ISO 9001, son publicos muchos casos de empresas que por hacer publico que certificaron fueron puntos de ataque de muchas fuentes simultaneas. Hay varias empresas que certificaron y nos les interesa difundir esta certificacion por que no genera tante “chapa, imagen, etc” como una ISO de calidad pro ejemplo.

]]>