Hay tantas vías rápidas para establecer la gestión de la seguridad, así como los controles, que se pueden pasar por alto los riesgos de seguir las normas. Es fácil utilizar marcos, normas como la ISO 27001 u otros requisitos normativos y no adquirir nunca el hábito de la mejora continua. Por esta misma razón, este artículo explora el proceso de selección de los controles de seguridad, las mejores prácticas de la industria y algunas experiencias en el camino.
Para trazar un plan para conseguir una tabla sólida de controles de seguridad, hemos escrito un libro blanco sobre este tema que explica el proceso de selección de controles de seguridad en detalle, basado en el Marco de Gestión de Riesgos del NIST, utilizado internacionalmente, y en la Publicación Especial 800-53. Este documento concluye todos los pasos necesarios para completar una lista de controles seleccionados, ejemplos, experiencia de la industria y conceptos erróneos ampliamente utilizados para implementar óptimamente este proceso en sus procesos de riesgo o de seguridad de la información, así como un ejemplo completo sobre cómo sería el resultado de este proceso. Puede encontrar el libro blanco en este enlace:
Libro Blanco Peligro ignorado – Selección de controles de seguridad
El resumen
El proceso de selección de los controles de seguridad es ampliamente conocido, pero a menudo se pasa por alto, o se programa para después de obtener los primeros resultados, pero la mejora puede producirse incluso antes del cumplimiento, de modo que el proceso de selección comienza justo al principio de la creación de un SGSI. La selección de los controles de seguridad consta de tres pasos: La selección de una línea de base mínima, la identificación de controles comunes y la selección de controles híbridos y específicos del sistema. Cada paso debe tomarse con cuidado para una óptima eficacia del programa de seguridad. Siguiendo el proceso descrito en el marco de gestión de riesgos del NIST, el resultado debería constar en un plan de seguridad, pero cualquier otro documento también sería suficiente. Al final del libro blanco encontrará un ejemplo de este tipo de documento.