Extraído del documento publicado por la Subdirección General de Tecnologías de la Información del Ministerio de Sanidad y Política Social.
|
GESTIÓN SEGÚN 27001 |
GESTIÓN SEGÚN ENS |
|
Su objetivo es la gestión de la seguridad de la
información |
Regula los principios básicos y establece los requisitos
mínimos |
|
Deja libertad para elegir el alcance del SGSI |
Se refiere a los medios electrónicos utilizados por los
ciudadanos en su relación con las AA.PP |
|
Se enfoca hacia los recursos en general, no limitándose
a los sistemas de información |
Se enfoca en el sistema de información (como conjunto
organizado de recursos) |
|
El análisis de riesgos siempre es obligatorio |
El análisis de riesgos sólo es real para sistemas de
categoría media y alta (en materia de seguridad) |
|
No obliga a implantar medidas de seguridad concretas,
aunque requiere justificar su no aplicación |
Obliga a implantar un conjunto determinado de medidas de
seguridad (según la categoría del sistema) |
|
Exige la realización de auditorías periódicas sobre el
alcance del SGSI |
Exige una auditoría bianual de conformidad con el ENS para los sistemas de categoría media y alta (en materia de seguridad) |
Conclusiones
La gestión de la seguridad de los sistemas de información debe realizarse mediante un enfoque sistemático. El SGSI propuesto por el estándar ISO/IEC 27001 ofrece numerosas ventajas:
- La toma de decisiones sobre la seguridad de los activos críticos de información se
basa en información a priori (análisis de riesgos) y a posteriori (auditorías e
indicadores).
- Se orienta a la mejora continua, a través de la gestión de acciones correctivas y
preventivas.
- Integra directamente en la gestión de la seguridad a todos los actores necesarios.
- Incluye el cumplimiento de la normativa legal aplicable.
- Si se decide obtener la certificación ISO/IEC 27001 del sistema, mejora la imagen
del organismo y se contribuye a generar confianza entre los ciudadanos y
empresas.
- Sitúa a la Administración Pública en una posición privilegiada para cumplir el
Esquema Nacional de Seguridad.
- Las normas ISO/IEC 27001 y 27002 están razonablemente elaboradas, sirviendo
de guía clara en el proceso.
Por supuesto, también supone un mayor nivel de exigencia:
- Requiere un esfuerzo suplementario de gestión, mayor en las etapas iniciales del
proyecto.
- La formalización inherente al estándar supone el riesgo de perder de vista el
objetivo básico, que no es otro que la seguridad de los sistemas de información.
Por ello, es importante valorar continuamente si la utilidad que aporta cada
elemento del SGSI es mayor que su coste.
