La norma ISO 27001: Lo más importante que debes saber
ISO 27001
Desde el año 2013 se encuentra disponible la nueva versión de la norma ISO 27001. Dicha norma ya se está elaborada bajo la estructura que determina el Anexo SL.
En esta nueva versión no solo se establecen cambios en el contenido sino también en la estructura, lo que se ve reflejado en los documentos que forman parte de la familia ISO 27000.
Las principales modificaciones se ven reflejadas en la estructura y en el contenido de los controles que conforman el Anexo A, donde el número total de apartados eran 11 y hoy en día son 14, se reduce el número de controles de 133 a 112, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad.
La norma ISO 27001 2013 ha sido desarrollada con base al Anexo SL, en el cual se facilita un formato y un conjunto de alineamientos para seguir el desarrollo documental de un sistema de gestión sin importar el enfoque empresarial, alineando bajo una misma estructura todos los documentos que se relacionan con el sistema de gestión y así evitar problemas de integración con otros marcos de referencia. La nueva estructura queda como sigue:
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del desempeño
10. Mejora
Descripción de las principales secciones
0 Introducción
El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque del proceso” que contenía la versión 2005, en donde se describe el modelo PHVA, el corazón del Sistema de Gestión de Seguridad de la Información. Además de la que se mencionaba la alineación con el Anexo SL.
1 Alcance
Se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.
2 Referencias normativas
La norma ISO 27002 ya no es una referencia normativa para la norma ISO 27001 2013, aunque continúa considerándose necesario para el desarrollo de la declaración de aplicabilidad.
La norma ISO 27000 2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
3 Términos y definiciones
Los términos y definiciones que se manejaban en la norma ISO 27001 fueron trasladados y agrupados en la sección 3 de la norma ISO 27000 2013 “Fundamentos y vocabulario”, con el principal objetivo de contar con una sola guía de términos y definiciones que sea consistente.
4 Contexto de la organización
Esta cláusula hace hincapié en la identificación de todos los problemas externos e internos que rodean a la organización.
5 Liderazgo
Se debe ajustar la relación y responsabilidades de la alta dirección respecto del Sistema de Gestión de Seguridad de la Información, por lo que podemos destacar de forma puntual cómo se debe demostrar el compromiso, por ejemplo:
- Garantizar que se cumplan los objetivos del Sistema de Gestión de Seguridad de la Información.
- Garantizar la disponibilidad de los recursos.
- Garantizar los roles y las responsabilidades.
6 Planeación
Esta sección se encuentra enfocada a la definición de los objetivos de seguridad, los cuales pueden ser claros y debe contar con planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de riesgos:
- El proceso para realizar la evaluación de riesgos.
- La metodología utilizada para conseguir el objetivo de identificar los riesgos asociados.
- El nivel de riesgo se determina en base a la probabilidad de que suceda un riesgo.
- Se ha eliminado el término “propietario del activo” y se adopta el término “propietario del riesgo”.
7 Soporte
Marca los requisitos de soporte para establecer, implantar y mejorar el Sistema de Gestión de Seguridad de la Información ISO 27001 2013, en el que se incluye:
- Recursos
- Personal competente
- Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”, abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al Sistema de Gestión de Seguridad de la Información.
8 Operación
Establece todos los requisitos necesarios para medir el funcionamiento del Sistema de Gestión de Seguridad de la Información ISO 27001 2013, las expectativas de la alta dirección y su realimentación, además del cumplimiento del estándar.
Se plantea que la empresa debe tener planificadas y controladas las operaciones y los requisitos de seguridad. Los activos, las vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
9 Evaluación del desempeño
La base de la identificación y medición de la eficiencia y el desempeño del Sistema de Gestión de Seguridad de la Información sigue siendo la auditoría interna y las revisiones que se realizan de sistema de gestión.
10 Mejora
El principal elementos que se utiliza durante el proceso de mejora son las no conformidades que se encuentran identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurarse que no se repitan y que las acciones correctivas que se llevan a cabo sean efectivas.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.