Hoy fue mi participación en el Congreso Internacional de Seguridad (Las Americas Security Show 2008), para tocar el tema de "Mejores Prácticas para Proteger Información Corporativa", en relación al estándar ISO7IEC 27001. Disponía de 45 minutos y la audiencia era principalmente gente interesada en seguridad física, así es que traté de explicar este estándar lo mejor posible.

Empecé por decirle a la audiencia del valor que tiene la información y que si no la veíamos como un activo importante, jamás seríamos capaces de protegerla adecuadamente porque no invertiríamos en algo que no consideramos valioso. El punto de partida para seguir un estándar, una mejor práctica, comprar algún control o tomar una iniciativa de seguridad es precisamente considerar a la información como algo importante.

Hablé de que la seguridad es algo más que aplicar parches, poner un firewall y un antivirus (que es a lo que se reduce la seguridad en algunas organizaciones). Comenté algunos casos reales de pérdida de información. Luego de algunos slides más, empecé a hablar del ISO 27001 que básicamente se compone de dos partes: el Sistema de Gestión de Seguridad de la Información y los Controles. Expliqué lo mejor posible estos conceptos para que se llevaran una idea de lo que era este estándar (un proceso de administración de seguridad en conjunto con controles a ser aplicados dependiendo de lo que haya arrojado el análisis de riesgos). Me sentí a gusto con este tema, ya que al llevar actualmente un proyecto de 27001 estoy con la información fresca.

En fin. Espero no haya aburrido a la audiencia. Hoy en la tarde seguirán las pláticas allá en el Centro Banamex.