Durante el tiempo que he trabajado en seguridad de la informaci\u00f3n siempre he encontrado que para Colombia y algunos otros pa\u00edses de latinoam\u00e9rica el concepto de gestionar seguridad de la informaci\u00f3n se traduce en implementar un SGSI o sistema de gesti\u00f3n de seguridad de la informaci\u00f3n basado en ISO 27001. Siempre he sido ap\u00e1tico de los est\u00e1ndares y recetas m\u00e1gicas para implementar cosas, dado que no existen tales cosas que den cobertura a tantas organizaciones. Tanto 27001 como su familia de normas y gu\u00edas asociadas son prueba de ello.<\/p>\n
En los tres \u00faltimos a\u00f1os he participado en la implementaci\u00f3n y puesta en funcionamiento de varios SGSI en organizaciones diferentes, con cultura at\u00edpicas y con las particularidades usuarles de cualquier organizaci\u00f3n, sin embargo, al aplicar la seguridad es claro que cada una es un mundo diferente y que lo que se desarroll\u00f3 en una dif\u00edcilmente pueda aplicarse a otras. Creo que en eso todos tenemos mucha claridad. Es por ello que he llegado a la conclusi\u00f3n que modelos est\u00e1ndarizados como 27001, NIST 800-100, ISM3, entre otros, requieren de ser muy adaptados a las organizaciones, perdiendo esa figura de est\u00e1ndar, claro, a menos de que la implementaci\u00f3n de seguridad conste en llenarse de documentos que nadie leera, registros que nadie diligenciar\u00e1 y temas complejos que en las charlas de generaci\u00f3n de conciencia, nadie pondr\u00e1 atenci\u00f3n.<\/p>\n
Un mentor de esos inesperados que se te cruzan en la vida profesional me dec\u00eda algo muy cierto y es que la seguridad debe de dejar de ser tan absorta en salvar al mundo y m\u00e1s bien debe empezar a mirar que duele y c\u00f3mo apoyar. Cualquiera dir\u00eda que es m\u00e1s que obvio, tal vez lo sea, pero donde en estos est\u00e1ndares o normas te dicen que comprendas el negocio, que hagas inmersi\u00f3n en \u00e9l para entender qu\u00e9 le duele, cosa que no sale de un an\u00e1lisis de riesgos claramente, entender su gente, sus particularidades y generalidades, sus fortalezas y sus debilidades y c\u00f3mo buscar que la seguridad sea un soporte, un real aliado y no un espia que espera para salir corriendo y gritar riesgo mientras se corre en c\u00edrculos.<\/p>\n
Se tarda tiempo en comprender aquello que un docente explicaba en la especializaci\u00f3n de riesgos: Por que odiamos los est\u00e1ndares de cumplimiento y preferimos hacer las cosas a pie.<\/p>\n
No digo que ISO 27001 no sirva, mucho menos, ha sido un trabajo fuerte de muchos por varios a\u00f1os, basados en experiencias y esfuerzos, sin embargo, pueda que como punto de partida en la implementaci\u00f3n de seguridad, sea una causa de que la seguridad sea vista para mal en las organizaciones. Es por ello que mi conclusi\u00f3n es simple: \u00abConstruye la seguridad para tu organizaci\u00f3n paso a paso, como los bloques de lego, uno a la vez y mirando cuando algo no cuadre para que sea la seguridad esa base s\u00f3lida que aporta y fortalece al negocio independiente de fierros, personal y muchas otras cosas que van integrandose poco a poco\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"
Durante el tiempo que he trabajado en seguridad de la informaci\u00f3n siempre he encontrado que para Colombia y algunos otros pa\u00edses de latinoam\u00e9rica el concepto de gestionar seguridad de la informaci\u00f3n se traduce en implementar un SGSI o sistema de gesti\u00f3n de seguridad de la informaci\u00f3n basado en ISO 27001. Siempre he sido ap\u00e1tico de … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[549,126,550,469],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-jeffto","4":"post-1640","6":"format-standard","7":"category-seguridad-de-la-informacion","8":"post_tag-cumplimiento","9":"post_tag-iso-27001","10":"post_tag-modelo-de-seguridad","11":"post_tag-seguridad-de-la-informacion-2"},"_links":{"self":[{"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/posts\/1640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eljeffto.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1640"}],"version-history":[{"count":1,"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/posts\/1640\/revisions"}],"predecessor-version":[{"id":1641,"href":"https:\/\/eljeffto.com\/index.php?rest_route=\/wp\/v2\/posts\/1640\/revisions\/1641"}],"wp:attachment":[{"href":"https:\/\/eljeffto.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eljeffto.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eljeffto.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}