Comments on: Publicada la 27005 http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/ Fri, 05 Dec 2008 01:54:23 +0000 http://wordpress.org/?v=2.6.2 By: javier cao http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/#comment-2099 javier cao Fri, 27 Jun 2008 20:13:09 +0000 http://bitacora.palomallaneza.com/?p=184#comment-2099 Yo si he podido leerla pero solo le he dado una pasada. Me gusta de cabo a rabo. Deja los conceptos elementales bien atados (Activo, amenaza, vulnerabilidad, impacto, riesgo) y lo interesante de una norma sin entrar a juzgar diferentes formas de cumplir los requisitos. Por tanto, establece lo que deberá "cumplir una buena metodología". Respecto a MAGERIT 2.0 por ejemplo, si noto diferencias también justificadas por el paso del tiempo. Por ejemplo, ahora se extiende el concepto de gestión del riesgo. En MAGERIT había tres grandes fases: planificación, análisis y gestión. En ISO 27005 ahora estarian: * context establishment * risk assessment * risk treatment * risk acceptance * risk communication, and * risk monitoring and review. Puedes leer algo en más en la nota de prensa de ISO en http://www.iso.org/iso/pressrelease.htm?refid=Ref1139 Yo si he podido leerla pero solo le he dado una pasada. Me gusta de cabo a rabo. Deja los conceptos elementales bien atados (Activo, amenaza, vulnerabilidad, impacto, riesgo) y lo interesante de una norma sin entrar a juzgar diferentes formas de cumplir los requisitos. Por tanto, establece lo que deberá “cumplir una buena metodología”. Respecto a MAGERIT 2.0 por ejemplo, si noto diferencias también justificadas por el paso del tiempo. Por ejemplo, ahora se extiende el concepto de gestión del riesgo. En MAGERIT había tres grandes fases: planificación, análisis y gestión. En ISO 27005 ahora estarian:
* context establishment
* risk assessment
* risk treatment
* risk acceptance
* risk communication, and
* risk monitoring and review.
Puedes leer algo en más en la nota de prensa de ISO en http://www.iso.org/iso/pressrelease.htm?refid=Ref1139

]]> By: Renato Aquilino Pujol http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/#comment-2085 Renato Aquilino Pujol Thu, 26 Jun 2008 14:41:05 +0000 http://bitacora.palomallaneza.com/?p=184#comment-2085 Buenas tardes de semifinal. Espero que pasemos a la final y que no sea el final, aquí el género del sustantivo implica muchas cosas, sin que haga falta que Bibiana nos ilumine. Bueno, tras esta patética reflexión (se admiten tomates) paso a preguntaros por la recién nacida ISO 27005. ¿ Está influenciada por alguna otra metodología/s ? Se había lado de varias fuentes, pero dado que no tengo todavía la Norma en mis manos no he podido empezar a buscar similitudes. ¿ Las habeis encontrado vosotros/as ? Saludos desde las nieves perpetuas de Santapola. Buenas tardes de semifinal. Espero que pasemos a la final y que no sea el final, aquí el género del sustantivo implica muchas cosas, sin que haga falta que Bibiana nos ilumine. Bueno, tras esta patética reflexión (se admiten tomates) paso a preguntaros por la recién nacida ISO 27005.

¿ Está influenciada por alguna otra metodología/s ? Se había lado de varias fuentes, pero dado que no tengo todavía la Norma en mis manos no he podido empezar a buscar similitudes. ¿ Las habeis encontrado vosotros/as ?

Saludos desde las nieves perpetuas de Santapola.

]]> By: Javier Cao Avellaneda http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/#comment-2049 Javier Cao Avellaneda Mon, 23 Jun 2008 10:26:20 +0000 http://bitacora.palomallaneza.com/?p=184#comment-2049 El contenido de la norma me parece tan necesario y claro para el mercado que por fin parece que "todos" vamos a tener que entender lo mismo por hacer un "análisis y gestión de riesgo". Es un problema en la implantación de la ISO 27001 que cada empresa o consultor entiendan a su manera el "análisis de riesgos". Contar con Magerit venía sirviendo como una referencia clara pero los criterios de estimación y la filosofía de modelado de activos seguían siendo un tema donde cada técnico tiene que componerselas como puede. He leído la norma pero para coger bien todos los detalles deberé pasar por ella varias veces. Me parecen interesantísimos todos los anexos. El contenido de la norma me parece tan necesario y claro para el mercado que por fin parece que “todos” vamos a tener que entender lo mismo por hacer un “análisis y gestión de riesgo”.
Es un problema en la implantación de la ISO 27001 que cada empresa o consultor entiendan a su manera el “análisis de riesgos”. Contar con Magerit venía sirviendo como una referencia clara pero los criterios de estimación y la filosofía de modelado de activos seguían siendo un tema donde cada técnico tiene que componerselas como puede. He leído la norma pero para coger bien todos los detalles deberé pasar por ella varias veces. Me parecen interesantísimos todos los anexos.

]]> By: Paloma LLaneza http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/#comment-2034 Paloma LLaneza Fri, 20 Jun 2008 17:13:55 +0000 http://bitacora.palomallaneza.com/?p=184#comment-2034 Gracias, Joseba. La verdad es que sólo visito la parte privada de la web ;) y de las publicaciones me entero por la secretaría del 27 que es quien nos ha dado la fecha de publicación. ¿Qué te ha parecido la norma? Gracias, Joseba. La verdad es que sólo visito la parte privada de la web ;) y de las publicaciones me entero por la secretaría del 27 que es quien nos ha dado la fecha de publicación.
¿Qué te ha parecido la norma?

]]> By: Joseba Enjuto http://bitacora.palomallaneza.com/2008/06/20/publicada-la-27005/#comment-2030 Joseba Enjuto Fri, 20 Jun 2008 10:27:47 +0000 http://bitacora.palomallaneza.com/?p=184#comment-2030 Hola, La publicación se ha adelantado un poco, en la web de ISO <a href="http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42107" rel="nofollow">figura</a> con fecha de 2008-06-04. Saludos, Joseba Hola,

La publicación se ha adelantado un poco, en la web de ISO figura con fecha de 2008-06-04.

Saludos,

Joseba

]]>