Nuevo impulso a la seguridad de la información con la ISO 27001:2013

A finales de este año será presentada la nueva versión de esta norma

internacional. Hay una gran expectativa sobre las novedades incluidas, ya que

se trata de la primera actualización desde que se adoptó la original de este

estándar en el 2005. Tras ocho años, ha habido cambios muy significativos,

incluyendo amenazas, vulnerabilidades y riesgos.

Hace más de dos años que se inició este proyecto de actualización que ha

contado con la participación de especialistas de más de 60 países. Esta nueva

versión incluye muchas novedades, tanto a nivel del sistema de gestión como a

nivel de controles de seguridad de la información.

Para empezar, la norma tiene una nueva estructura común a todas las normas

ISO. Por ejemplo, la norma ISO 22301:2012 de gestión de la continuidad del

negocio usa la misma estructura. Las futuras versiones de la ISO 9001 y de la

ISO 20000 también serán adaptadas a esta estructura, facilitando la

interpretación de las diferentes normas y su implementación conjunta.

Todas las definiciones que estaban en la versión de 2005 han sido

eliminadas, y aquellas que aún son relevantes, han sido reubicadas en la

ISO/IEC 27000. Así, se garantiza la coherencia de los términos y de las

definiciones en todas las normas de la familia 27000. La sección de la norma

ISO/IEC 27001:2005 que menciona el “enfoque basado en procesos”,

incluyendo el modelo PDCA (Plan-Do-Check-Act) ha sido eliminada, ya que ISO

reconoce que el requisito realmente importante es la mejora continua, y por lo

tanto, existen otras formas, además del PDCA, igualmente válidas para cumplir

este requisito.

Otro cambio, también en introducción, tiene que ver con el orden en el que

aparecen los requisitos en la norma del Sistema de Gestión de la Seguridad de

la Información (SGSI). Es decir, el orden no tiene que ser el orden en el que

los requisitos tienen que ser implementados Es irrelevante. Lo importante es

que se cumplan todos los requisitos una vez se realice la implementación

completa del SGSI.

En relación con el Sistema de Gestión, la edición de 2005 contaba con 102

requisitos obligatorios incluidos en las cláusulas de la 4 a la 8. Ahora, en la

versión de 2013, se han añadido 28 requisitos más, quedando un total de 130

requisitos, en las cláusulas de la 4 a la 10. También el número de cláusulas ha

sido reorganizado, lo que ha implicado la creación de nuevas secciones.

Por ejemplo, se ha incluido una nueva sección sobre la comunicación interna y

externa relevante para el SGSI. Sin embargo, se ha eliminado la cláusula que

listaba todos los documentos necesarios para el SGSI. Esto evita la duplicación

y producción de documentos con nombres específicos a excepción del SOA

(Statement of Aplicabilitiy), que se mantiene. Aquí se pretende destacar que lo

importante es el contenido y no el nombre del documento.

Otro ejemplo es la introducción de dos nuevas cláusulas “Entender a la

organización y su contexto” y “Entender las necesidades y expectativas de las

partes interesadas” para determinar el contexto y el ámbito del SGSI. Además,

ya no es necesario proporcionar un framework de objetivos, pasando a ser

necesario establecer los objetivos sólo en niveles y funciones relevantes.

Nuevo enfoque para la gestión de riesgos

Uno de los cambios más importantes de la norma es definir un nuevo enfoque

para la aplicación del riesgo, tanto en la fase de “planificación” como en la fase

de “operación”. Los requisitos de evaluación de riesgos son más genéricos y

están alineados con la ISO 31000:2009. Por lo tanto, ya no es necesario

identificar los activos, las amenazas y las vulnerabilidades con el fin de

identificar los riesgos. Si la metodología de evaluación de riesgos utilizada en

la organización usa este método y funciona, se puede mantener -no hay

necesidad de cambiarlo-. Sin embargo, hay métodos alternativos,

perfectamente válidos que se pueden usar si se prefiere, que no utilizan

activos, amenazas y/o vulnerabilidades para identificar los riesgos.

También hay nuevos requisitos generales que tienen como objetivo cubrir

riesgos y no únicamente riesgos de seguridad de la información (en la versión

del 2005 se trata este tema con acciones correctivas). Se introduce además

una nueva función en el proceso de evaluación del riesgo, que es la de risk

owner.

Otros cambios tienen que ver, por ejemplo, con la sustitución del concepto de

“Política del SGSI” por “Política de Seguridad de la Información” o

“Management” por “Top Management”. Hay otros conceptos que han quedado

obsoletos, por ejemplo “asset” y “record”.

Los controles del Anexo A disminuyen con respecto a la versión de 2005,

pasando de 133 a un total de 114, es decir, se eliminan 19 controles en este

anexo. Sin embargo, a pesar de esta disminución, el anexo que estaba

formado por 11 dominios, de A.5 a A.15, ha pasado a estar formado por 14, de

A.5 al A.18. En la nueva versión se han separado 2 dominios y se ha creado

uno nuevo sobre “Relaciones con el Proveedor” en respuesta a la popularidad

del “Cloud Computing” y a los esfuerzos para proteger las cadenas de

suministro. Esta mejora en la estructura del Anexo A, tiene un impacto en la

claridad y alineación con las políticas, procesos y procedimientos de negocio ya

existentes.

Además de haber cambiado el número de controles, otro cambio importante en

el Anexo A tiene que ver con su aplicación. En la nueva versión de la ISO

27001 ya no es necesario “seleccionar” controles del Anexo A. En cambio, las

organizaciones deben “determinar” cuáles son los controles necesarios, como

parte del tratamiento de riesgos, y comparar esos controles con los del Anexo

A, para garantizar que no se ha olvidado ningún control importante.

Impacto en las empresas ya certificadas

Todos estos cambios van a tener impacto en miles de empresas ya

certificadas. Cuando la ISO/IEC 27001:2013 sea oficialmente publicada, todas

las organizaciones, tendrán un periodo de tiempo (aún por definir, aunque

generalmente es de dos años), para efectuar la transición a la nueva versión

de la norma. La transición se podrá realizar en alguna de las auditorías anuales

de revisión programadas, o mediante una auditoria extraordinaria.

Desde la aprobación inicial de la ISO/IEC 27001 en 2005 el número de

empresas registradas y certificadas pasó de 5797 a 17850 a finales del año

2011. Entre los países con más empresas certificadas en esta norma, se

encuentra Japón, Rumanía, China, Inglaterra, India e Italia.

Para estas empresas ya certificadas, se recomienda contratar una auditoria

interna de migración, que identifique los gaps que la organización debe

resolver para mantener la conformidad con la nueva versión de la norma y

garantizar que no se tengan no conformidades en la auditoria externa al

migrar a la nueva versión de la norma.

Impacto en las empresas no certificadas

Para las empresas que están en fase de implementación de la norma, pero aún

no se han certificado, se espera que dispongan de un plazo de un año para

certificarse con la versión antigua. Después de este plazo, sólo se podrán

certificar en la versión de 2013.

Fuente: