 |
|
 |
 La Trazabilidad es un concepto relevante relacionado con la Seguridad de la Información. Tener en cuenta la trazabilidad o tracking consiste en preocuparse (analizar los riesgos) sobre el propio ciclo de vida de la información y los activos que la contienen y gestionan, sobre la huella de sus acciones, sobre su ciclo de vida. De esta manera nos debe importar por ejemplo de dónde viene un disco duro, a dónde va una persona que sepa información de nuestra compañía, quién introdujo aquel registro o cuál ha sido la vida de un documento que tenemos que entregar a un cliente. Otras normas relacionadas con Calidad TIC como la ISO 15489 sobre Gestión de documentos o el Esquema Nacional de Seguridad (legislación española), citan la trazabilidad como un valor fundamental en la Seguridad de la Información. Algo que paradójicamente, ISO 27001 no cita textualmente en ningún momento. TRAZABILIDAD según ISO 15489-1:2001
Creación, incorporación y conservación de información sobre el movimiento y uso de documentos (activos).
Según Esquema Nacional de Seguridad (legislación española RD 3/2010 de Enero)
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
Hoy en dia en un entorno de proveedores y suministradores cada vez más difuso, (la nube) la trazabilidad es todavía más importante. Por ello no vendría mal aumentar los 133 controles existentes en ISO 27001 para enfatizar esta característica en el sistema de gestión de Seguridad de la Información, SGSI. Cierto es que dicha propiedad se encuentra inherente en la implementación de los controles, pero es conveniente subir la importancia de dicho concepto para darle mayor importancia si cabe. Sobre los 133 controles de ISO 27001 la realidad es que pocas empresas se les ha “ocurrido” ampliar este abanico tan amplio en su SGSI, en realidad la norma es muy amplia y la sensación de ampliar controles es la de que tenemos que hacer más cosas, pero no es así. La Declaración de aplicabilidad consta de los controles que la organización implemente de manera natural (antes incluso de la implantación de un SGSI) más otros que tras un análisis de riesgos y su debido tratamiento se deban implementar para minimizar el impacto de posibles incidentes. Por ello en este artículo queríamos hacer una propuesta dirigida a empresas certificadas en ISO 27001 y hacia la comunidad científica para aumentar dos controles del Anexo A. Estos dos controles son “además de” y podrían ser implementados en organizaciones que dispongan de un proceso de gestión de incidentes con mucho volumen y repercusión y sea necesario por ejemplo por imperativos legales (ficheros de nivel ALTO) o por resultado del análisis de riesgos. En gris, textos actualmente definidos en UNE-ISO/IEC 27001:2005 y en negro los controles propuestos ( A.7.3.1 y A.13.2.4 )  
|
TEMAS EN CALIDAD TIC
ULTIMOS ARTICULOS PUBLICADOS
|
|
