nuevo impulso a la seguridad de la información con la iso 27001.pdf
TRANSCRIPT
![Page 1: Nuevo impulso a la seguridad de la información con la ISO 27001.pdf](https://reader035.vdocuments.co/reader035/viewer/2022071709/563dba8a550346aa9aa68164/html5/thumbnails/1.jpg)
Nuevo impulso a la seguridad de la información con la ISO 27001:2013
A finales de este año será presentada la nueva versión de esta norma
internacional. Hay una gran expectativa sobre las novedades incluidas, ya que
se trata de la primera actualización desde que se adoptó la original de este
estándar en el 2005. Tras ocho años, ha habido cambios muy significativos,
incluyendo amenazas, vulnerabilidades y riesgos.
Hace más de dos años que se inició este proyecto de actualización que ha
contado con la participación de especialistas de más de 60 países. Esta nueva
versión incluye muchas novedades, tanto a nivel del sistema de gestión como a
nivel de controles de seguridad de la información.
Para empezar, la norma tiene una nueva estructura común a todas las normas
ISO. Por ejemplo, la norma ISO 22301:2012 de gestión de la continuidad del
negocio usa la misma estructura. Las futuras versiones de la ISO 9001 y de la
ISO 20000 también serán adaptadas a esta estructura, facilitando la
interpretación de las diferentes normas y su implementación conjunta.
Todas las definiciones que estaban en la versión de 2005 han sido
eliminadas, y aquellas que aún son relevantes, han sido reubicadas en la
ISO/IEC 27000. Así, se garantiza la coherencia de los términos y de las
definiciones en todas las normas de la familia 27000. La sección de la norma
ISO/IEC 27001:2005 que menciona el “enfoque basado en procesos”,
incluyendo el modelo PDCA (Plan-Do-Check-Act) ha sido eliminada, ya que ISO
reconoce que el requisito realmente importante es la mejora continua, y por lo
tanto, existen otras formas, además del PDCA, igualmente válidas para cumplir
este requisito.
Otro cambio, también en introducción, tiene que ver con el orden en el que
aparecen los requisitos en la norma del Sistema de Gestión de la Seguridad de
la Información (SGSI). Es decir, el orden no tiene que ser el orden en el que
los requisitos tienen que ser implementados Es irrelevante. Lo importante es
que se cumplan todos los requisitos una vez se realice la implementación
completa del SGSI.
En relación con el Sistema de Gestión, la edición de 2005 contaba con 102
requisitos obligatorios incluidos en las cláusulas de la 4 a la 8. Ahora, en la
versión de 2013, se han añadido 28 requisitos más, quedando un total de 130
requisitos, en las cláusulas de la 4 a la 10. También el número de cláusulas ha
sido reorganizado, lo que ha implicado la creación de nuevas secciones.
Por ejemplo, se ha incluido una nueva sección sobre la comunicación interna y
externa relevante para el SGSI. Sin embargo, se ha eliminado la cláusula que
listaba todos los documentos necesarios para el SGSI. Esto evita la duplicación
![Page 2: Nuevo impulso a la seguridad de la información con la ISO 27001.pdf](https://reader035.vdocuments.co/reader035/viewer/2022071709/563dba8a550346aa9aa68164/html5/thumbnails/2.jpg)
y producción de documentos con nombres específicos a excepción del SOA
(Statement of Aplicabilitiy), que se mantiene. Aquí se pretende destacar que lo
importante es el contenido y no el nombre del documento.
Otro ejemplo es la introducción de dos nuevas cláusulas “Entender a la
organización y su contexto” y “Entender las necesidades y expectativas de las
partes interesadas” para determinar el contexto y el ámbito del SGSI. Además,
ya no es necesario proporcionar un framework de objetivos, pasando a ser
necesario establecer los objetivos sólo en niveles y funciones relevantes.
Nuevo enfoque para la gestión de riesgos
Uno de los cambios más importantes de la norma es definir un nuevo enfoque
para la aplicación del riesgo, tanto en la fase de “planificación” como en la fase
de “operación”. Los requisitos de evaluación de riesgos son más genéricos y
están alineados con la ISO 31000:2009. Por lo tanto, ya no es necesario
identificar los activos, las amenazas y las vulnerabilidades con el fin de
identificar los riesgos. Si la metodología de evaluación de riesgos utilizada en
la organización usa este método y funciona, se puede mantener -no hay
necesidad de cambiarlo-. Sin embargo, hay métodos alternativos,
perfectamente válidos que se pueden usar si se prefiere, que no utilizan
activos, amenazas y/o vulnerabilidades para identificar los riesgos.
También hay nuevos requisitos generales que tienen como objetivo cubrir
riesgos y no únicamente riesgos de seguridad de la información (en la versión
del 2005 se trata este tema con acciones correctivas). Se introduce además
una nueva función en el proceso de evaluación del riesgo, que es la de risk
owner.
Otros cambios tienen que ver, por ejemplo, con la sustitución del concepto de
“Política del SGSI” por “Política de Seguridad de la Información” o
“Management” por “Top Management”. Hay otros conceptos que han quedado
obsoletos, por ejemplo “asset” y “record”.
Los controles del Anexo A disminuyen con respecto a la versión de 2005,
pasando de 133 a un total de 114, es decir, se eliminan 19 controles en este
anexo. Sin embargo, a pesar de esta disminución, el anexo que estaba
formado por 11 dominios, de A.5 a A.15, ha pasado a estar formado por 14, de
A.5 al A.18. En la nueva versión se han separado 2 dominios y se ha creado
uno nuevo sobre “Relaciones con el Proveedor” en respuesta a la popularidad
del “Cloud Computing” y a los esfuerzos para proteger las cadenas de
suministro. Esta mejora en la estructura del Anexo A, tiene un impacto en la
claridad y alineación con las políticas, procesos y procedimientos de negocio ya
existentes.
![Page 3: Nuevo impulso a la seguridad de la información con la ISO 27001.pdf](https://reader035.vdocuments.co/reader035/viewer/2022071709/563dba8a550346aa9aa68164/html5/thumbnails/3.jpg)
Además de haber cambiado el número de controles, otro cambio importante en
el Anexo A tiene que ver con su aplicación. En la nueva versión de la ISO
27001 ya no es necesario “seleccionar” controles del Anexo A. En cambio, las
organizaciones deben “determinar” cuáles son los controles necesarios, como
parte del tratamiento de riesgos, y comparar esos controles con los del Anexo
A, para garantizar que no se ha olvidado ningún control importante.
Impacto en las empresas ya certificadas
Todos estos cambios van a tener impacto en miles de empresas ya
certificadas. Cuando la ISO/IEC 27001:2013 sea oficialmente publicada, todas
las organizaciones, tendrán un periodo de tiempo (aún por definir, aunque
generalmente es de dos años), para efectuar la transición a la nueva versión
de la norma. La transición se podrá realizar en alguna de las auditorías anuales
de revisión programadas, o mediante una auditoria extraordinaria.
Desde la aprobación inicial de la ISO/IEC 27001 en 2005 el número de
empresas registradas y certificadas pasó de 5797 a 17850 a finales del año
2011. Entre los países con más empresas certificadas en esta norma, se
encuentra Japón, Rumanía, China, Inglaterra, India e Italia.
Para estas empresas ya certificadas, se recomienda contratar una auditoria
interna de migración, que identifique los gaps que la organización debe
resolver para mantener la conformidad con la nueva versión de la norma y
garantizar que no se tengan no conformidades en la auditoria externa al
migrar a la nueva versión de la norma.
Impacto en las empresas no certificadas
Para las empresas que están en fase de implementación de la norma, pero aún
no se han certificado, se espera que dispongan de un plazo de un año para
certificarse con la versión antigua. Después de este plazo, sólo se podrán
certificar en la versión de 2013.
Fuente: