ISO 13335 es un compendio de 5 documentos que de forma práctica aborda la seguridad de las Tecnologías de la Información y orienta sobre los aspectos de su gestión. Estos documentos son:
- Parte 1: Conceptos y modelos para la seguridad TI
- Parte 2: Gestión y planificación de la seguridad de TI
- Parte 3: Técnicas para la gestión de la seguridad TI
- Parte 4: Selección de Salvaguardas
- Parte 5: Guía para la gestión de Seguridad en Redes
La primera parte discute las definiciones clásicas de Seguridad de la Información y el riesgo de los activos de información. Nos muestra los principales macro procesos involucrados en la gestión de la seguridad de la información como son: la gestión de la configuración, la gestión del cambio, gestión del riesgo, análisis de riesgo, contabilidad y responsabilidad (desde una perspectiva de seguridad), concienciación de seguridad, monitoreo, planificación de la contingencia y recuperación de desastres. También muestra diferentes modelos útiles para entender las interrelaciones entre los elementos de seguridad definidos conceptualmente y la gestión de riesgo. En resumen esta parte del documento define y establece los conceptos necesarios para poder entender la gestión de la seguridad de la información y todo el resto del documento.
La segunda parte de la ISO 13335 describe las estrategias para poner en practica todos los procesos de seguridad, también menciona los diferentes roles y responsabilidades a nivel organizacional, así como un modelo de gobernabilidad de seguridad de la información amparado por la gobernabilidad de Tecnología de la Información o enfocado totalmente a los aspectos de tecnología de la información. Esto a mi parecer es muy limitado, ya que el rol de la seguridad de la información debe ser visto desde la perspectiva del negocio y no de forma parcial solo para involucrarse cuando hay tecnología en el proceso de negocio (por ejemplo un documento en papel puede tener los mismos los mismos impactos a la confidencialidad, integridad y disponibilidad).
A partir de la tercera parte el documento se torna menos estratégico y comienza a definir las actividades desde un punto de vista pragmático.
El ISO 13335 a mi parecer es un documento de gran importancia para la seguridad de la información, pero también es el menos leído. Esta especulación sale de la gran divergencia de procesos que una unidad de seguridad de la información tiene en cada organización, muchas veces con actividades que le corresponde a un administrador de red, de base de datos o de sistemas. Otra parte donde se puede observar esta carencia de conocimiento en la ISO13335 es en las descripciones de las ofertas de trabajo, en su mayoría carentes de una especialización, donde se pide que al especialista de seguridad que sea experto en todos los rubros tecnológicos aparte que debe ser bueno redactando una política, obviando además la gestión de riesgo y la concienciación. La enseñanza de la seguridad de la información en la mayoría de las instituciones se enfoca en los aspectos de tecnología de la información (administración de firewall, arquitectura de seguridad, etc.) y carece del contenido estratégico o de la gestión de riesgo.
