O-ISM3 no propone una técnica en particular de análisis de riesgos e indica que utilizar cualquier técnica de protección “es adecuado para alcanzar los objetivos del proceso y sus salidas.
Volviendo a los controles se plantea como una de las características claves de O-ISM3 que
“mientras muchos enfoques de gestión de seguridad de información consideran evaluación del riesgo como una primera etapa necesaria y como tal O-ISM3 puede utilizarse así como cualquier otra norma en este campo, no exige un enfoque basado en la evaluación de riesgo. En algunos casos, una empresa puede decidir que no es necesario hacer una evaluación del riesgo para encontrar que necesita un control de seguridad. Por ejemplo, los controles pueden elegirse en función de:Lo anterior es un acierto, ya que no tiene sentido que necesariamente se tenga que cumplir con todo un proceso desgastante de análisis de riesgos para aplicar controles, ya que hay controles que no dan espera, por ejemplo, habilitar el firewall de un equipo que por alguna no lo tiene habilitado, o cerrar un puerto de un servicio que solo se necesita localmente (por ejemplo, usualmente MySQL), o crear una política de un servicio que no tiene unos términos asociados a ese servicio. Son esas pequeñas mejoras las que pueden marcar la diferencia.
El enfoque de O-ISM3 ofrece a las organizaciones la flexibilidad de elegir cualquier
- Sentido común.
- Mejores prácticas (contraseñas)
- Aprendiendo de incidentes (tal vez un mejor firewall o antivirus)
- Un análisis centrado específicamente en vulnerabilidad o amenazas.
- Requisitos de cliente (No deseo que los usuarios del proyecto A tengan acceso a datos pertenecientes a mi proyecto).
subconjunto de sus procesos de seguridad de la información basada en varios criterios.” (pág. 77).
No hay comentarios:
Publicar un comentario