Dominios ISO 27001:2013: Motivos para conocer mejor la nueva norma
Dominios ISO 27001:2013
Existen 5 motivos por los que debemos conocer mejor la norma ISO 27001, y éstos son:
Dominios, objetivos de control y controles
El número de dominios ISO 27001:2013 se ha incrementado. El número total de controles se ha reducido notablemente. En la nueva ISO 27001 existen 14 dominios, 35 objetivos de control y 114 controles. Uno de los grandes cambios que se han producido en éste área es la importancia que tiene la evaluación y aprendizaje de los eventos de seguridad de TI que se centra en el programa de respuesta a incidentes.
Estructura de alto nivel
La versión anterior de la norma ISO 27001 se creó hace 8 años. Mientras que para otras normas no tiene mucha importancia, sólo tenemos que ver el cambio significativo en tecnologías de la información que se ha producido en estos últimos años para conocer la importancia de que la norma se encuentra actualizada. A todo esto debemos unir esta nueva versión de la norma que ha sido estructurada con un lenguaje de alto nivel que se sincroniza con todas la nuevas normas de gestión. Esto permite una mayor flexibilidad a la hora de abordar una integración.
Evaluación y tratamiento de riesgos
Una de las principales atracciones de la nueva ISO 27001 es el proceso de gestión del riesgo, al que se le ha querido ofrecer una gran flexibilidad. Este proceso consiste en identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la confidencialidad, es necesario intentar así adaptar este proceso a la norma ISO 31000. Esto consigue que el proceso de evaluación de riesgos sea mucho más claro, completo y objetivo siendo un requisito de una buena gestión en cuanto a la seguridad de TI.
Anexo A
La inserción de la seguridad en los procesos en los que intervienen terceras partes, como los proveedores, siendo una de las partes más importantes tratadas en el nuevo Anexo A. Todos los controles han sido revisados y reestructurados de manera que nos ayuden a la hora de abordar las relaciones con los proveedores. Ha sido eliminada la redundancia que había antes entre ciertos controles y se ha conseguido una agrupación más lógica. Han sido añadidos controles mucho más específicos, adaptados a las nuevas realidades tecnológicas.
Mejora y orden
El ciclo PHVA (Planificar, Hacer, Verificar y Actuar) ha sido eliminado en la nueva versión de la norma ISO 27001. La ISO reconoce que lo verdaderamente importante es la mejora continua por lo que existen muchas metodologías, aparte del ciclo PHVA, igualmente válidas para cumplir con esto.
Los Dominios Tecnológicos de Seguridad incorporan los activos de la información que van a proteger y cumplir.
Los dominios ISO 27001:2013 deben ser evaluados incluyendo los siguientes objetivos:
Dominio de la política de seguridad
Su objetivo es garantizar a la empresa el soporte y gestión necesarios para la seguridad de la información según todos los requisitos institucionales y normativos. Se debe establecer la política según los objetivos establecidos por la empresa. Es necesario contar con el compromiso en cuanto a la seguridad de la información.
Dominio de la organización en cuanto a la seguridad de la información
Su finalidad es instaurar un marco de referencia para definir el camino para la implantación y control de la seguridad de la información dentro de la empresa.
La dirección de la empresa es la responsable de establecer la política de seguridad, además debe establecer los roles de los comités y nombrar al encargado mediante una resolución. El encargado debe coordinar y revisar el proceso.
Dominio de gestión de activos
Este dominio tiene el objetivo de llevar a cabo una protección adecuada en cuanto a los activos de la empresa.
En todo momento los activos se encuentran inventariados y controlados por un responsable que también se encarga de manipularlos de forma correcta.
Dominio de seguridad de los recursos humanos
Su objetivo es fijar las medidas necesarias para controlar la seguridad de la información, que ha sido manejada por los recursos humanos de la empresa.
Dominio en cuanto la seguridad física y del medio ambiente
Con este dominio se consigue proteger todas las instalaciones de la empresa y toda la información que maneja. Por esto, se establecen diferentes barreras de seguridad y controles de acceso.
Dominio gestión de las comunicaciones y operaciones
El objetivo se encuentra en determinar los procesos y responsabilidades de las operaciones que lleva a cabo la organización. Se debe asegurar que todos los procesos se encuentren relacionados con la información ejecutada de forma adecuada.
Dominio control de acceso
Se asegura el acceso autorizado a todos los sistemas de información de la empresa. Es necesario realizar diversas acciones como controles para evitar el acceso de usuarios no autorizados, controles de entrada, etc.
Dominio de adquisición, desarrollo y mantenimiento de los sistemas de información
Este dominio se encuentra dirigido a aquellas empresas que desarrollen software internamente o que tenga un contrato con otra empresa que se encarga de desarrollarlo. Se tiene que establecer los requisitos en la etapa de implantación y desarrollo de software para que sea seguro.
Dominio de gestión de incidentes en la seguridad de la información
Con este dominio se aplica un proceso de mejora continua en la gestión de percances de seguridad de la información.
Dominio de gestión de continuidad de negocio
El objetivo es asegurar la continuidad operativa de la empresa. Se requiere aplicar controles que eviten o reduzcan todos los incidentes de las actividades desarrolladas por la empresa que puedan generar un impacto.
Dominio de cumplimiento
Su finalidad es asegurar que los requisitos legales de seguridad que han sido referidos al diseño y gestión de los sistemas de información.
Software ISO 27001
La Plataforma Tecnológica ISOTools agiliza y facilita a las organizaciones el proceso de implementación y mantenimiento de los Sistemas de Gestión de Seguridad de la Información.