ISO 27001: La estructura en el Anexo SL
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 publicada en el año 2013 se encuentra integrada en el nuevo esquema definido por ISO para todos los Sistemas de Gestión acorde al nuevo formato llamado “Anexo SL”.
El Anexo SL cuenta con 10 cláusulas, este ya ha sido aplicado a la norma ISO/IEC 22301 y será aplicado en las próximas publicaciones de las nuevas ISO 9001:2015, ISO 14001:2015, además de otras publicaciones que se encuentran en un proceso de revisión.
Las tablas que se encuentran localizadas en los anexos de las normas, como por ejemplo la tabla del Anexo C de la ISO 27001:2005 quedan eliminadas ya que se aplican las nuevas tablas del Anexo SL que son equivalentes a estas.
Vamos a explicar los diferentes apartados que conforman el Anexo SL
1. Objeto y campo de aplicación
Al publicar la norma ISO 27001:2013 esta se rige por el nuevo esquema, el Anexo SL. Poco a poco se irán adhiriendo muchas más normas que hoy en día se encuentran en proceso de revisión.
2. Referencias normativas
En la nueva versión de la norma ISO 27001:2013 la referencia que se hacía a la ISO 27002 se elimina, por lo que las buenas prácticas que se encontraban recogidas en la ISO 27002 siguen sirviendo de ayuda para poder localizar y determinar todos los controles de seguridad válidas dentro de la gestión de riesgos, dicho estándar se convierte en un complemento e incluso puede llegar a ser sustituidos por otras referencias que pueden llegar a ser mucho más útiles dependiendo de la necesidad que tenga cada persona.
3. Términos y definiciones
Se eliminan todas las definiciones que hacen referencia la versión del año 2005 y se reubican en la norma ISO 27000 con el principal objetivo de poder consolidar la validez y la interpretación de los términos y las definiciones en todas las publicaciones de la serie 27000.
4. Contexto de la organización
La empresa tiene que determinar todas las cuestiones externas e internas que son relevantes para alcanzar todos los propósitos que afectan a la capacidad de conseguir los resultados deseados en su Sistema de Gestión de Seguridad de la Información.
4.1. Conocimiento de la organización y su contexto
Se tienen que revisar la definición del alcance actual, especialmente en su relación con las diferentes entidades externas al mismo como novedad. Se debe mejorar y desarrollar la capacidad de análisis de un alto grado de nivel preventivo.
4.2. Conocimiento de las necesidades y expectativas de las partes interesadas
Se tiene que revisar cuál es la definición de alcance actual, fundamentalmente la relación con las entidades externas al mismo, como novedad. Se pretende mejorar y desarrollar la capacidad de la organización de analizar el mayor grado de carácter preventivo posible.
5. Liderazgo
No encontramos novedades fundamentales, ya que las consideraciones del ciclo PDCA de la versión 2005 son las mismas que las de la versión de la ISO 27001:2013.
5.1. Liderazgo y compromiso
La dirección de la organización tiene que demostrar su liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información mediante:
- Garantizar la integración de los requisitos del Sistema de Gestión de Seguridad de la Información en el proceso de la organización
- Comunicar la importancia de una gestión eficaz en seguridad de la información
5.2. Política
La nueva versión de la norma ISO 27001 no diferencia entre “Política del SGSI” y la “Política de Seguridad de la Información”. Sólo se considera una “política de seguridad de la información”.
5.3. Roles, responsabilidades y atribuciones en la organización informar a la alta dirección del estado de la seguridad.
Una vez determinado el Alcance la organización debe tener en cuenta:
- Cuestiones externas e internas
- Interrelaciones y dependencias entre las actividades desarrolladas por la organización
6. Planificación
Sin cambios fundamentales, las acciones preventivas en la nueva ISO 27001:2013 desaparecen bajo dicha denominación y pasan a llamarse acciones de identificación del riesgo y oportunidades de mejora.
El método de utilización del Anexo A es ahora un poco diferente y más claro que en la versión del 2005. Determinar los controles para la reducción de los niveles en los riegos identificados se deben determinar ahora en relación directa con la ISO 27002 y cualquier otra referencia documental.
El Anexo A pierde un poco de carácter de requisito en los 114 controles que se incluyen, aunque sí que se deben justificar. Llevar a cabo dicha actividad de justificación se debe prestar atención a la correcta interpretación de los controles indicados, poniendo especial atención en los nuevos incluidos.
Se tienen que considerar los objetivos en seguridad de la información, especialmente en aquellos enfoques que se generan habitualmente en la política del Sistema de Gestión de Seguridad de la Información.
Cuando se planifica el alcance de los objetivos de seguridad de la información, la empresa tiene que determinar de una forma clara los recursos necesarios, quién será la persona responsable del sistema, cuando se completará, y cómo se llevará a cabo la evaluación de los resultados.
7. Mantenimiento
No se realizan cambios fundamentales, salvo en la conciencia que se amplía, por lo que todas las personas que lleven a cabo su trabajo bajo el control de la empresa deben ser perfectamente conscientes de la política de seguridad de la información de la organización.
8. Operación
La empresa tiene que planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos exigidos en seguridad de la información, y además poner en práctica todas las acciones necesarias.
9. Evaluación del rendimiento
La empresa tiene que evaluar el desempeño de la seguridad de la información y la eficacia del Sistema de Gestión de Seguridad de la Información de una forma más clara y definida.
10. Mejora
La principal novedad es la reacción ante las no conformidades y evitar la recurrencia en el mismo o en otros lugares. Se debe evitar en la medida de lo posible la falta de profundidad localizada en el modo de acometer los análisis de causa para las no conformidades y la consecuente deficiencia en las acciones llevadas a cabo.
Software para ISO 27001
El Software ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.