Thursday, July 21, 2011

NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012

Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.

Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.

Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace aƱos. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!

El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.

Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.

Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.

No comments: