miércoles, 11 de junio de 2008

Esas desconocidas organizaciones internacionales (I)

París, Estrasburgo, Bruselas y Nueva York están llenas de organizaciones internacionales de las que dependen los más exóticos e inverosímiles grupos de trabajo.
Es probable que Usted no haya oido hablar del Grupo de Trabajo de Seguridad de la Información y Protección de la Privacidad (WPISP, Working Party on Information Security and Privacy), dependiente del Comité para la Política de la Información, Informática y Comunicaciones, ICCP, Comité adscrito a la dirección para la Ciencia, la Tecnología y la Industria, de la OCDE.
Pues bien, este grupo, en el que participan por parte de España el Ministerio de Industria, Turismo y Comercio, el Ministerio de Administraciones Públicas y la Agencia Española de Protección de Datos, es el encargado de promover la adopción de políticas armonizadas entre los estados miembros en materia de seguridad de la información y protección de datos.
El WPSIP ha desarrollado un portal de "cultura de la seguridad", donde pueden consultarse documentos de interés sobre identidad digital o lucha contra el Spam.
Recordemos que la expresión "cultura de la seguridad" se utilizaba en las "Líneas Directrices de la OCDE para la seguridad de sistemas y redes de información: Hacia una cultura de seguridad" del año 2002. Las Líneas Directrices de la OCDE, pese a estar prácticamente vacías de contenido, o precisamente por eso, han sido reconocidas por la ONU y el Consejo de Europa. Se componen de los siguientes nueve principio, que deben ser interpretados como un todo:
1º. Sensibilización
2º. Responsabilidad
3º. Reacción
4º. Ética
5º. Democracia
6º. Evaluación de riesgos
7º. Concepción y puesta en práctica de la seguridad
8º. Gestión de la Seguridad
9º. Reevaluación
Los tres últimos principios sin duda resultarán familiares a aquellos que se hayan aventurado a implantar un Sistema de Gestión de Seguridad de la Información.....

6 comentarios:

jose fernando dijo...

Cuando afirmas "Los tres últimos principios sin duda resultarán familiares a aquellos que se hayan aventurado a implantar un Sistema de Gestión de Seguridad de la Información....."¿por qué no incluyes el cuarto último - la evaluación de riesgos -?

Ad Edictum dijo...

Estimado Blogtor:

Gracias por su acerdato comentario sobre el "cuarto último". Respecto al mismo, le comento que no lo he incluído por dos razones:
1º.- Si lee la norma, comprobará que lo importante es gestionar y el sistema de acuerdo a la espiral de mejora continua (plan, do, check, act): Esta idea resulta mucho más importante que el análisis de riesgos, que es un mero instrumento.
2º. Tengo un concepto romano de la propiedad que aplico a mi blog. Es decir, que en el mismo, hablo de los que quiero y cuando quiero. A mayor abundamiento, remito a lo que decía uno de mis blogueros predilectos, Sánchez Dragó, al explicar por qué le dedicaba un post a Soseki, su gato:
http://www.elmundo.es/elmundo/2008/04/24/dragolandia/1209053553.html
Quedo a su disposición para cualquier duda o consulta adicional.

jose fernando dijo...
Este comentario ha sido eliminado por el autor.
jose fernando dijo...

Bien. Creo que el Análisis de Riesgos es la "herramienta" que determina el nivel de riesgo a que esta sometido una compañía. Dificilmente aquello que no se puede medir se puede mejorar. Hay que partir de una base. Incluso a veces hay que reevaluar el riesgo.Sin él no podemos gestionarlo, ni hacer un plan de continuidad.
Respecto a su concepto "romano" de la propiedad, yo puntualizaría que es más bien canino.

Ad Edictum dijo...
Este comentario ha sido eliminado por el autor.
Ad Edictum dijo...

Estimado blogtor:
Me alegra que haya entrado usted en la descalificación personal, puesto que eso es síntoma de que este blog tiene futuro.
Quedo a su disposición para cualquier consulta o duda en consultasblogtic@gmail.com.