normas segu info marzo 2013

Ing. Carlos Ormella Meyer y Asoc.Gestión y Auditoría de Riesgos y Seguridad de la InformaciónTel: +54-11-4371-4638 – Cel: +54-911-6513-2751E-mail: [email protected]

20/03/2013 10:14:14 AM © Ing. Carlos Ormella Meyer Página 1 de 9

NORMAS ISO DE SEGURIDAD DE LA INFORMACION ©Abstract

Ing. Carlos Ormella MeyerMarzo 2013

Especialmente en los últimos años se viene dando un desarrollo sostenido de las TIC, es decir lasTecnologías de la Información referidas a los sistemas de computación y a los medios de intercambio local yremoto de la información.

Tales tecnologías se han convertido en activos estratégicos para las empresas y las propias personasfacilitando el uso de los datos de unas y otras a lo largo de todo el mundo.

Puesto que la problemática parece a primera vista estar centrada en la tecnología, se han ido formandouna cantidad de especialistas en seguridad informática, es decir con conocimientos de las tecnologíaspropias de sistemas de computación, redes y comunicaciones.

Pero también pueden producirse eventos debido al uso inadecuado y descuido no sólo de los sistemasinformáticos sino también de otras fuentes de datos por parte de quienes manejan la información. De hecholas estadísticas muestran que tales situaciones pueden causar mayor daño que las propias de la tecnología. Yaunque se tomen medidas de seguridad ocurre que muchas estas medidas plantean cambios de conductaque pueden entrar en conflicto con los esquemas de las personas por su resistencia natural a los cambios ylos mecanismos de defensa que se disparan. Esta mayor dependencia de la gente (1) amerita un replanteodel escenario original.

Además, los riesgos de seguridad de la información implican un panorama corporativo integral que llevaincluso a considerar cómo es una organización, las interrelaciones del organigrama y de la realidad, y lacultura corporativa, la que concibe la operatividad de una empresa con una malla organizativa especialmenteen las nuevas estructuras matriciales.

De esta manera se puede concluir que para una gestión confiable y segura que permita concretar las metasy objetivos de una organización, además de los recursos técnicos habrá que considerar la gente, los procesosy funciones de negocio.

Precisamente en parte por lascircunstancias señaladas, últimamente seviene dando el cambio de denominación deseguridad informática a seguridad de lainformación (2) con una visión más ampliade un marco de riesgos de negociosrespecto de la perspectiva tradicional deseguridad técnica. En la práctica lo anteriormuestra al menos lo limitado del paradigmatan difundido que la seguridad es unacuestión técnica.

Y justamente este nuevo enfoqueresponde al concepto del GobiernoCorporativo o Corporate Governance , esdecir, cómo dirigir, administrar o controlaradecuadamente una empresa.

De esta manera las conclusiones anteriores no responden solamente a lo comentado al principio, sino quetienen fuerte fundamento incluso desde hace más de diez años. Los antecedentes en tal sentido seencuentran en la OECD (Organización para la Cooperación y Desarrollo Económico, OCDE en español) queestableció las responsabilidades del Directorio de una empresa como uno de los seis Principios de un



Gobierno Corporativo, en lo referente a "política de riesgos" y el aseguramiento de la integridad de lainformación corporativa por medio de "sistemas para el monitoreo de los riesgos".

Al considerar los riesgos corporativos hay que aplicar cierta forma de clasificación o taxonomía, comoindican las Guías de Seguridad también de la OECD, donde se establecen otros nueve Principios, dos delos cuales importan especialmente. Uno se refiere a la Concientización donde aparecen las personas comoindividuos y como grupos, es decir la gente como ya mencionáramos antes. El otro Principio considera laValuación de riesgos, en base a amenazas y vulnerabilidades, y establece que los factores que determinanlos riesgos pueden ser de carácter tecnológico, físico y humano.

Todo este conjunto señala en la práctica cuatro tipos de riesgos, los tradicionales riesgos técnicos desistemas IT, los riesgos organizacionales, los riesgos operacionales y los riesgos de carácter físico,como producto de las correspondientes vulnerabilidades. Y, por cierto, a diferencia de las vulnerabilidadestécnicas propias de las TIC que más bien responden a un esquema blanco-negro o a lo sumo de tres niveles,las vulnerabilidades organizacionales y operacionales se extienden en una amplia gama de grises, muyrelacionada con el comportamiento humano y las opiniones subjetivas de las personas, la cultura empresarial,la forma de comunicación, la resistencia al cambio, etc.

La evolución del concepto de seguridad de la información guarda cierta relación con el tiempo. Así fuecomo la Seguridad de la Información fue pasando de lo técnico a la gestión y de aquí a lainstitucionalización bajo normas universales, para actualmente fortalecer la toma de conciencia que laseguridad es parte de los negocios, puesto que la información es un activo corporativo crítico para mantenersustentables las operaciones, entroncándose así en el paradigma del Corporate Governance,

En la década pasada se han venido desarrollando varias normas relacionadas con la seguridad de lainformación siguiendo diferentes enfoques que hacen al conjunto, y ya en los últimos años la visión para elusuario puede verse como mucho más integral

De todas las normas publicadas de seguridadde la información dos de ellas constituyen las basesde todo el conjunto. Son la ISO 27002(anteriormente ISO 17799 y ésta a su vez derivadade la BS 7799-1) y la ISO 27001 (que evolucionó apartir de la BS 7799-2).

Otras dos normas que expresanrecomendaciones pueden usarse en el proceso deimplementación de medidas de seguridad de lainformación como complemento de las dos normasanteriores. Se trata de las ISO 27005 de Riesgos yla ISO 27004 de Métricas.

A continuación se ofrecen los principales puntosde las cuatro normas citadas.

Norma ISO 27002La ISO 27002 es una guía de recomendaciones de buenas prácticas para la gestión de seguridad de la

información. Cubre no sólo la problemática IT sino que hace una aproximación holística a la seguridadcorporativa de la información extendiéndose a todas las funcionalidades de una organización en cuanto a quepuedan afectar la seguridad de la información. Para ello la norma, en la versión publicada en junio de 2005define para su selección un total de 133 controles generales de seguridad a partir de 39 objetivos de controlestructurados en 11 áreas, 3 de ellas técnicas, 7 de gestión y 1 de seguridad física.

La ISO 27002 está redactada bajo la forma verbal "should", un término presente en otras normas ISO ytambién del IETF y el IEEE que, por convención, expresa una forma condicional que no implica imposiciones.Es así como la norma hace precisamente recomendaciones y por lo tanto no establece requisitos cuyocumplimiento pudieren certificarse.



Esta norma está siendo revisada y actualizada para su publicación prevista para el segundo semestre deeste año 2013, Más adelante se puede encontrar información sobre el último draft de 2013.

NORMA ISO 27001En contraposición con la ISO 27002, la ISO 27001 usa la expresión "shall", otro término convencional, en

este caso para expresar mandato u obligación.

De esta manera la ISO 27001 especifica los requisitos para establecer un plan de seguridad constituidopor un Sistema de Gestión de Seguridad de la Información, SGSI (o ISMS, por su nombre en inglés)dentro del contexto de los riesgos totales de negocios de una empresa.

De esta manera, las especificaciones y las implementaciones correspondientes hacen que tanto laauditoría como la certificación se hagan con referencia a la ISO 27001.

Así las cosas, para mediados de Marzo de 2013 se habían emitido casi 8.000 certificacionescorrespondientes a organizaciones de 86 países diferentes.

También la ISO 27001 está siendo revisada y actualizada para su publicación prevista para el segundosemestre de este año 2013. Más adelante se puede encontrar información sobre el último draft de 2013.

El proceso de implementación bajo la ISO 27001 comienza con la determinación del Alcance del proyecto,que puede extenderse a todas las actividades de una empresa, o bien a un servicio o área determinados. Acontinuación se debe redactar una Política General, un documento corto pero con el detalle concreto delAlcance y demás consideraciones pertinentes, y que debe ser refrendado por las autoridades máximas de laempresa para poder luego establecer las responsabilidades correspondientes.

Luego sigue una parte fundamental en el proceso de implementación constituido por la selección eimplementación de los controles de seguridad definidos en la ISO 27002. Dicha selección se realiza en base auna adecuada valuación de los riesgos a que están sujetos los activos a proteger.

En este punto, la ISO 27001 no impone una forma determinada de realizar dicha valuación, pudiéndoserecurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales, aunque esrecomendable el marco de trabajo dado por la norma ISO 27005 que se comenta más adelante.

Los resultados de la valuación de riesgos ya mencionada se contrastan con la situación de seguridadexistente en un proceso de preauditoría que generalmente se realiza por medio de un análisis gap. De estamanera quedan determinados los controles de seguridad que deben implementarse, así como el nivelnecesario en los mismos. Toda esta información se registra en una Declaración de Aplicabilidad, SoA, queacompaña al Alcance en el proceso de certificación posterior. Por cierto dicho SoA debe incluir todos loscontroles implementados o no con los correspondientes motivos.

A partir de la valuación de riesgos y el análisis gap surgirá la necesidad de reducir algunos de los riesgos avalores residuales aceptables. Para el caso se usan salvaguardas o contramedidas adecuadas cuyaefectividad puede medirse bajo el marco de trabajo de la norma ISO 27004 que también se comenta másadelante.

Una de las formas básicas de mitigar riesgos es por medio de normas de uso, controles de seguridad yprocedimientos. Adicionalmente, muchas de las salvaguardas para los riesgos técnicos se basan ensoftware/productos de seguridad adecuados.

En cambio con otros tipos de riesgos, especialmente los operacionales, la mitigación de los mismos sepuede lograr a partir de planes de concientización y capacitación, controlados por medio de métricas.

Se puede medir el resultado de un programa de concientización o capacitación encuestando a los queasistieran al programa por ejemplo con un método de investigación prospectiva como Delphi. Para el caso sepueden aplicar técnicas de Psicología Social por medio de cuestionarios sobre los temas tratados conforme



tres criterios que conforman lo que denominamos el Factor Gente (1): Conocimiento, Actitud yComportamiento. Así puede medirse la adhesión o aceptación no sólo del conocimiento transferido, sinotambién de la actitud que toman los usuarios respecto de dicho conocimiento y del comportamiento queasumen cuando tienen que aplicar dicho conocimiento.

Otra de las características más trascendentes de la ISO 27001 es la incorporación del ciclo Deming omodelo de mejoramiento continuo de cuatro fases PDCA (Plan-Do-Check-Act), que para el caso trata delestablecimiento, implementación y operación, monitoreo y mejoramiento del sistema de gestión de seguridadde la información.

La aplicación del modelo PDCA en la ISO 27001 permite alcanzar varios objetivos destacados:

a) Satisface los Principios formulados en la nueva versión de las Guías para la Seguridad de los Sistemas yRedes de Información de la Organización para la Cooperación y Desarrollo Económico (OCDE).

b) Ofrece una atractiva y útil armonización con las normas ISO 9001 (Calidad), ISO 14001 (Ambiental) yOHSAS 18001 (Higiene y Seguridad Ocupacional) entre otras, que también fueron desarrolladas en base alciclo PDCA. Esto permite un alineamiento entre estas normas en áreas comunes como partes de ladocumentación, entrenamiento, auditoría interna, etc. todo lo cual facilita una implementación consistente ysemiintegrada, con la consiguiente reducción de costos y esfuerzos.

c) El SGSI forma parte naturalmente de los procesos y procedimientos de riesgo del Corporate Governance.Efectivamente, un buen Gobierno Corporativo se ocupa del establecimiento y mantenimiento de un procesoefectivo de gestión de riesgos incluyendo un sistema de controles internos, así como también de fomentarla incorporación de la función de auditoría interna en una organización. Todo esto queda reflejado en lasdiferentes fases del proceso PDCA de la ISO 27001.

d) Al considerar los requisitos de seguridad de la información en toda una organización, e implementarse yoperar en el contexto de la gestión de los riesgos totales de negocios de la misma, genera una importantesinergia con la implementación Turnbull de gestión de riesgos de negocios, también modelada con el cicloPDCA.

NORMA ISO 27005Se refiere a la valuación y gestión de riesgos y fue publicada en 2008-. En gran parte se basa en la ISO

13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de riesgosconforme la nueva norma británica BS 7799-3, que si bien también trata de los riesgos tiene un enfoqueespecial en los negocios. La ISO 27005 también reconoce el formato y diagrama de flujo de la normaaustraliana de riesgos AS/NZS 4360 (hoy día ampliada por la ISO 31000 de Gestión de Riesgos, implicandotodo tipo de riesgos, no sólo de seguridad de la información).

Estrictamente la ISO 27005 hace recomendaciones respecto de un marco de referencia para el análisis ygestión de riesgos que permite el uso de alguno de los muchos productos comerciales y gratuitos al efecto.

En la práctica el análisis de riesgo puede realizarse a partir de dos enfoques diferentes: considerando lasvariables con que ocurren los incidentes, o bien estimando la protección que requieren los recursos con susdebilidades y los factores que pueden afectarlos.

a) Método “lagging”, por las Pérdidas que ocasiona un incidente de seguridad. Aquí las variables para cadaincidente son la Frecuencia de ocurrencia del incidente y el Impacto que causa.

b) El método “leading”, por los factores o Entidades de riesgos involucradas. Para este tipo de análisis lasvariables son los Activos o recursos por el valor que representan para los procesos de negocio de laempresa, las debilidades o Vulnerabilidades que tengan esos activos; y las Amenazas que puedanexplotar dichas vulnerabilidades. Para el caso hay que tener en cuenta que los diferentes tipos devulnerabilidades y los riesgos correspondientes ya comentados antes. Y específicamente en el caso de lasvulnerabilidades organizacionales y operacionales, es recomendable para su determinación trabajar conalgún método de investigación prospectiva como el ya comentado Delphi por medio de una serie de



preguntas ajustadas al objetivo, pero ahora seguida por entrevistas personales para establecer el valor delas opiniones vertidas en las respuestas a dicha encuesta.

Si bien la ISO 27005 promueve el cálculo de riesgos por el método de las frecuencias de ocurrencia eimpactos, igualmente habla de activos, amenazas y vulnerabilidades, incluyendo incluso tres de sus Anexoscon listados y tablas al efecto.

También introduce el concepto de activos dependientes, lo que implica que el riesgo de un activo sepueda trasladar al menos en parte a otro activo. De esta manera, el riesgo acumulado en el segundo activo,es el riesgo propio más el que “recibe” del primero.

Adicionalmente se establece que además de los tres parámetros básicos de seguridad (CIA) queestablece la ISO 27002 se debieran considerar también la Responsabilidad (en cuanto a rendir cuentas delas acciones), la Confiabilidad, la Autenticación y su complemento del No-Repudio.

NORMA ISO 27004Esta norma, publicada en 2009, es una guía que especifica las mediciones y su uso, como base de

información del SGSI para la toma de decisiones al respecto.

Para ello estipula un modelo de atributos de objetos de seguridad y formas de su cuantificación ymedición correspondientes a la efectividad del SGSI y de los controles implementados.

El proceso parte de mediciones básicas, de las que se derivan métricas las que, a su vez, combinadas oincluso con otras mediciones constituyen indicadores que con criterios asociados de decisión permiten latoma de decisiones en cuando a la efectividad deseada.

Si bien esta norma no ofrece detalles de las métricas a usar, se pueden mapear los controles ISO 27002 acontroles NIST en forma inversa a lo presentado por el estándar NIST 800-53, y luego optar por las métricasque se encuentran en NIST 800-55.

El GQM (Métricas de Metas por Cuestionarios) es otra herramienta que permite definir métricas a partirde un modelo de tres niveles dados primero por el establecimiento de metas, luego preguntas específicasrespecto de los motivos, atributos, contexto y punto de vista sobre el proceso que se mide, y finalmente laobtención de las respuestas correspondientes que son las métricas deseadas.

Adicionalmente se puede mencionar alBalanced Scorecard (BSC) (3) como unmecanismo adecuado para el control y medio degestión de dichas medidas de seguridad, y quefacilita la toma de decisiones para las mejorascorrespondientes. Además, por su funcionalidadestratégica el BSC genera valor para eldesarrollo de los procesos corporativos actuandode puente entre las áreas de seguridad de lainformación y la de negocios.

LA SERIE DE NORMAS ISO 27KLas normas ISO 27002 e ISO 27001

constituyen el núcleo de toda una serie denormas ISO 27000, también mencionadas como27K, ofreciendo una estructura auto-consistentee integral.

Algunas de las otras normas son extensiones a la ISO 27002 para la seguridad en áreas específicas. Otrasdetallan indicaciones y especificaciones bajo la órbita de la ISO 27001. Finalmente un par de ellas se refierena la auditoría y certificación. Sigue un listado de estas normas para marzo de 2013.

• ISO 27000: Define el vocabulario técnico específico. Publicada en Mayo de 2009.



• ISO 27001: Versión ISO actualizada de la BS 7799-2. Publicada en 2005.

• ISO 27002: Nueva denominación actualizada de la ISO 17799:2005.

• ISO 27003: Guía general de implementación de la serie. Publicada en Febrero de 2010.

• ISO 27006: Requerimientos para la acreditación de entidades de auditoría y certificación de SGSI. Publicadaen 2007.

• ISO 27007: Auditoría del SGSI, derivada de ISO 19011.

• ISO 27008. Auditoría de la Gestión de la Seguridad de la Información (no del Sistema propiamente dicho deGestión de Seguridad de la Información, que es tema de la ISO 27007) en cuanto a los controlesimplementados.

• ISO 27011: Extensión de la ISO 27002 en cuanto a la gestión de seguridad en telecomunicaciones.Publicada en 2008.

• ISO 27013: Guía para la implementación sucesiva o combinada de la ISO 27001 con la ISO 20000 (ITIL).Pensada para manejar los puntos de solapamiento en cuanto a seguridad TIC del ITIL con la ISO 27001. Endraft de Trabajo.

• ISO 27031: Preparada para la seguridad IT enla Continuidad de Negocios. Publicada enAbril de 2011.

• ISO 27032: Guía de ciberseguridad. En draftfinal.

• ISO 27033: Extensión de la ISO 27002 encuanto a Seguridad de redes IT, evolución apartir de la ISO 18028. Dividida en 8 partes,tres de las cuales ya se han publicado.

• ISO 27034: Extensión de la ISO 27002 encuanto a la seguridad en las aplicaciones.Publicada la primera parte de un total de 6.

• ISO 27035: Gestión de incidentes basada enla ISO 18044. Publicada en octubre de 2011.

• ISO 27799: Extensión de la ISO 27002 paracubrir los aspectos referidos a la protecciónde la información personal de salud.Publicada a mediados en 2008.

Adicionalmente a todas las normascomentadas antes, la serie 27K incluye otrasnormas previstas y/o en proceso, y que semuestran en el cuadro adjunto.

OTRAS NORMAS Y ESTÁNDARESAlgunas normas que no son específicamente de seguridad de la información pueden aportar

complementos de importancia en una implementación.



Un ámbito importante es el que cubre la ISO 22301 que sigue prácticamente el lineamiento y enfoque de laBS 25999 para la Gestión de Continuidad de Negocios , BCM. La ISO 22301 es más amplia y completarespecto de la ISO 27031 que sólo atiende el escenario TIC en cuanto a la seguridad en la Continuidad deNegocios. En este rubro también se dispone de la ISO 24762 referida específicamente a la Recuperación deDesastres aunque, de nuevo, para el ambiente TIC como parte de la Gestión de Continuidad de Negocios.

Por otra parte la ISO 22301 hace mención de otra nueva e importante norma, la ISO 31000 para la gestiónde riesgos. Esta norma, que reconoce antecedentes en la norma australiana AS/NZS 4360, establece elmarco de trabajo para todo tipo de riesgos y, de hecho, será de referencia para nuevas versiones de normascomo la ISO 27005, e incluso ya surge en la nueva versión de la ISO 27001 que se comenta más adelante.

En otro aspecto se distingue la recomendación PAS 99 como una herramienta de gran utilidad queespecifica los requisitos de un sistema de gestión común. Gracias a la integración de diferentes normas sepueden hacer auditorias y certificaciones conjuntas con reducción de costos y esfuerzos. Con PAS 99 sepueden integrar las normas correspondientes a los Sistemas de Gestión como la ISO 27001 y lasmencionadas antes, ISO 9001, ISO 14001 y OHSAS 18001, e incluso la ISO 20000 (ITIL), aunque con estaúltima hay que esperar la ISO 27013.

Adicionalmente se puede mencionar a la ISO 15408 o de Criterios Comunes (CC), que facilita evaluar yseleccionar una gama de productos IT a modo de salvaguardas con certificación de los niveles deaseguramiento que proporcionan.

APLICACIONESEl conjunto de características mencionadas convierten a la ISO 27001 en una importante ayuda para que

una empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos correspondientesque pudieren afectar sus negocios.

Una aplicación muy actual en este sentido responde a los desafíos que enfrenta una estrategia deseguridad para e-business y las múltiples cuestiones que pueden limitar el conocido escenario extranet decomunicaciones B2B entre empresas. Efectivamente, en este caso a través de Internet se interconectan redesde diferentes empresas (proveedores, clientes, socios), muchas veces con niveles de seguridaddesconocidos. La certificación con la ISO 27001 de las diferentes organizaciones interconectadas les dahomogeneidad en este punto, otorgando una garantía de aseguramiento entre ellas, sin importar el tipo dedispositivos, mecanismos, productos o marcas así como los procedimientos con que se hayan implementadolos controles y contramedidas de seguridad del SGSI.

Otra aplicación es el mapeado de los requisitos de reglamentaciones y directivas sobre protección dedatos personales, como las de la DNPDP (Dirección Nacional de Protección de Datos Personales) deArgentina bajo la ley de Habeas Data, y la LOPD (Ley Orgánica de Protección de Datos) de España. Elresultado es una suerte de miniproyecto de seguridad de la información, que incluye los controles de la ISO27002 referidos a dichas reglamentaciones o directivas.

La ISO 27001 aparece también como la norma idónea para medir la porción de seguridad de lainformación en los riesgos operacionales que los bancos deben considerar además de los tradicionalesriesgos crediticios, a la luz de los Acuerdos de Capitales Basilea II/III (4)

Por su parte las normas ISO 27002 e ISO 27001 encuentran su aplicación también para un BCP (Pan deContinuidad de Negocios) como parte de un BCM (Gestión de Continuidad de Negocios), así como tambiénpara medir la efectividad de las medidas para dar cumplimiento a la Sección 404 (a) de la Ley Sarbanes-Oxley,

LA NUEVA VERSION DE LA ISO 27002 (Draft de Febrero de 2013)Esta nueva versión tiene 14 capítulos referentes a 14 áreas de seguridad, en lugar de las 11 de la versión

actual de 2005. Dichos capítulos son los siguientes.

5 - Políticas de Seguridad6 - Organización de la seguridad de la información



7 - Seguridad de los recursos humanos8 - Gestión de activos9 - Control de acceso10 - Criptografía11 - Seguridad física y ambiental12 - Seguridad de las operaciones13 - Seguridad de las comunicaciones14 - Adquisición, desarrollo y mantenimiento de sistemas15 - Relaciones con proveedores16 - Gestión de incidentes de seguridad de la información17 - Aspectos de seguridad de la información en la continuidad de negocios18 - Cumplimiento

De estas 14 áreas, 4 son de carácter técnico, 1 físico y las 9 restantes son de gestión, cuando en laversión actual con 11 áreas tenemos 3, 1 y 7 respectivamente.

En lo referente a la diferencia en el número de áreas, surge por un lado que Criptografía ahora constituyeun área aparte, lo mismo que Relaciones con Proveedores. Por otra parte el área actual Gestión deComunicaciones y Operaciones ahora aparece dividida en las dos partes, Comunicaciones y Operaciones.

Además, en la nueva versión se reduce la cantidad de objetivos de control a 35, frente a los 39 de laversión actual.

También se ha reducido la cantidad de controles, 113 contra los 133 actuales. De los respectivos listadosse observa que se mantienen 106 controles de la versión actual, por lo que resulta que se han eliminado 27controles. Pero 9 de esos 106 se consolidan en sólo 4 controles nuevos, mientras que otro de los 106controles actuales se ha dividido en 2 controles nuevos. Finalmente se han agregado 11 controles nuevos, delos que se destacan tres referikdos a la seguridad en el desarrollo de sistemas.

Respecto a los controles que no han cambiado, salvo su numeración, igualmente corresponde hacer notarque en parte de ellos se han modificado los Lineamientos de Implementación correspondientes.

Tener presente que todo lo anterior se basa en el draft de febrero de 2013, de modo que en la versióndefinitiva a liberarse próximamente puede haber cambios.

LA NUEVA VERSION DE LA ISO 27001 (Draft de Febrero de 2013)Los nuevos capítulos son:

0 - Introducción1 - Alcance2 - Referencias normativas3 - Términos y definiciones4 - Contexto de la organización5 - Liderazgo6 - Planificación7 - Soporte8 - Operación9 - Evaluación del desempeño10 - Mejoramiento

Los cuatro primeros capítulos (del 0 al 3) se mantienen con algunas modificaciones.

Las tres secciones del Capítulo 4 de la versión actual sobre el SGSI se abren en partes que se cruzan conaporte compartido en seis capítulos de la nueva versión, desde el 4 hasta el 9. Sin embargo pese a estecambio estructural se podría decir que el contenido se mantiene en más del 75%.

El actual capítulo 5 (Responsabilidad Gerencial) con aporte de la sección 4.3 (Requerimientos deDocumentación) forma el nuevo capítulo 7 (Soporte).



Los actuales Capítulos 6 y 7 (Auditoría Interna y Revisión Gerencial) confluyen conjuntamente en el nuevoCapítulo 9 (Evaluación del Desempeño) que por cierto también recibe contribución del inciso 4.2 actual sobreEstablecimiento y Gestión del SGSI.

Finalmente el Capítulo 8 actual (Mejoras del SGSI) se mapea al nuevo Capítulo 10 (Mejoramiento).

En cuanto a algunos detalles significativos se puede comentar que no hay mención específica del modeloPDCA, aunque hay todo un capítulo (el 10) dedicado al Mejoramiento. Esto no condice con los conceptos dealineamiento que se mencionan con respecto a las demás normas de Sistemas de Gestión como las yacomentadas, y que al parecer prácticamente sólo se basa en el titulado de los diferentes capítulos.

Además, se ha ampliado el tema de tratamiento de riesgos y se lo ha alineado a la ISO 31000.

Por lo demás, obviamente el Anexo A refleja los controles correspondientes a la nueva versión de la ISO27002.

Tener presente que todo lo anterior se basa en el draft de febrero de 2013, de modo que en la versióndefinitiva a liberarse próximamente puede haber cambios.

(1) www.criptored.upm.es/descarga/FactorGenteSeguInfo.zip(2) www.criptored.upm.es/descarga/SeguridadInformatica_vs_SeguridadInformacion.zip(3) www.criptored.upm.es/descarga/MetricasSeguIinfoBSC.zip(4) Ver sección Preguntas y Respuestas de www.angelfire.com/la2/revistalanandwan

Copyright © 2013. Carlos Ormella Meyer.

normas segu info marzo 2013

Documents