tag:blogger.com,1999:blog-842360509098056917.post6958692152316876672..comments2009-08-12T16:12:05.642-07:00Comments on Eddasec: ESEGESEI INTECOEdgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-842360509098056917.post-70468662202928999932009-02-04T06:10:00.000-08:002009-02-04T06:10:00.000-08:00Hola Joseba, gracias por participar.No recuerdo la...Hola Joseba, gracias por participar.<BR/><BR/>No recuerdo las bases exactamente pero el límite eran Pymes "medianas" de hasta 250 empleados. Lo que si se limita es que el flujo de negocio a certificar englobe a un máximo de 45 empleados. Aún con este precepto, idéntico a todas las pymes, hay otras implicaciones/consideraciones colaterales que no tienen nada que ver en una pyme de 50 frente a una de 250, ni en una infraestructura de 1 servidor en red o en una instalación con 2 cpd's replicados con sus respectivos mainframes y más de 400 servidores de soporte, etc....<BR/><BR/>Efectivamente, la sensación que tengo es que el análisis de riesgos va a ser bastante "simple". Ojalá hubieran sido así los que he tenido que hacer con anterioridad ......... :-)<BR/><BR/>Correcto, otro punto clave es la madurez que mencionas, certificar algo que apenas ha empezado a mover la cola no tengo muy claro que sentido tiene. Pensando mal, el cumplimiento para la certificación será meramente circunstancial y "ficticio".<BR/><BR/>Queda claro, con los plazos existentes y la estrategia planteada no es más que un primer esbozo que debe evolucionar y mucho.Edgardhttps://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-91979053698915966222009-02-03T04:45:00.000-08:002009-02-03T04:45:00.000-08:00Sin estar inmerso en ningún proyecto del programa ...Sin estar inmerso en ningún proyecto del programa de Inteco, sí que quería hacer algunos comentarios.<BR/><BR/>En principio, la base del proyecto, según creo recordar, es que sea para pymes "muy pymes". Hablo de memoria, pero creo que las empresas de 200 empleados no podían entrar. Esto hace que el alcance, en la práctica, sea bastante reducido, de modo que una buena modelización de activos sí que puede quedar en "unos pocos" activos (cada entorno es un mundo, pero 25-30 activos no me parece irrealizable).<BR/><BR/>Contemplar 2-3 amenazas por activo me parece algo muy difícil a priori. ¿Sólo va a haber 2 ó 3 elementos capaces de dañar a cada activo? Con esas limitaciones tengo la sensación de que el análisis de riesgos se va a quedar un poco "cojo"...<BR/><BR/>Si el plazo de 5 meses es del proyecto completo (desde la reunión en la que conoces al consultor hasta la reunión en la que generas el PAC de la auditoría interna) la verdad es que me parece muy justo (entiendo que la certificación queda fuera del plazo). Entiendo que deba haber límites temporales al proyecto, pero del mismo modo que deba haberlos por exceso también debería haberlos por defecto. De hecho, hay auditoras que exigen un periodo mínimo de "madurez" en el SGSI, lo cual me parece muy necesario... <BR/><BR/>Y no obstante, sí que estoy de acuerdo en que el objetivo principal de ese tipo de proyectos sea el "esqueleto" del SGSI. Si los recursos se limitan al máximo, no queda más remedio que "saltarse" ciertas florituras. Otro problema es qué se considera el "esqueleto" del SGSI, y hasta dónde se puede "descafeinar" sin poner en riesgo la validez del SGSI (y no hablo de la certificación a propósito). ¿La formación debe formar parte de ese esqueleto? Yo creo que sí. ¿Más elementos? Bastantes más, pero definir ese esqueleto lo dejo para otros debates...Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.com