ISO 27001

En la actualización de ISO 27001 han participado profesionales de más de 60 países. La nueva versión de la norma supone numerosas novedades a nivel del sistema de gestión y del nivel de controles de seguridad de la información.

La norma cuenta con una nueva estructura que es común a las demás normas ISO.

Un cambio importante ha sido la definición de un nuevo enfoque con la finalidad de aplicar el riesgo, en la fase de “planificación” y en la de “operación”.

Las exigencias de evaluación de los riesgos no son tan específicas y se encuentran alineados con la ISO 31000:2009. Por ello, ya no es de vital importancia identificar las amenazas, los activos y las vulnerabilidades con el objetivo de señalar los riesgos. Además, existen métodos alternativos que no utilizan ni activos, ni amenazas, ni vulnerabilidades para señalar los riesgos.

Por otro lado, existen nuevas exigencias generales cuyo objetivo es cubrir riesgos que no sean únicamente de seguridad de la información. Además, se añade una nueva función el proceso de evaluación del riesgo, la llamada risk owner.

Se han producido cambios relacionados con la sustitución del concepto de “Política del SGSI” por “Política de Seguridad de la Información” y Management” por “Top Management”. Sin embargo, hay otros conceptos que han desaparecido como “asset”.

Los controles del Anexos A se han reducido con respecto a la versión de 2005. Aunque, a pesar de esta reducción, el anexo que estaba compuesto por 11 dominios ha pasado a tener 14. En esta nueva versión, se han separado dos dominios y se ha fundado uno nuevo que habla sobre “Relaciones con el Proveedor”.

Esta mejora que se ha producido en el Anexo ha tenido un impacto en la claridad y en la alineación con las políticas, procesos y procedimientos de negocio.

Otro cambio, que se ha producido en el Anexo A ha sido que ya no es vital “seleccionar” controles del Anexo A. Aunque, ahora deben “determinar” cuales van a ser los controles necesarios, como parte del tratamiento de riesgos para asegurar que no se ha olvida ningún control importante.

Todos los cambios, indicados anteriormente van a influir en las empresas ya certificadas por la ISO 27000. Cuando se produzca oficialmente la publicación de la ISO 2701:2013 aquellas organizaciones que ya posean la certificación tendrán un periodo de tiempo para realizar la transición de la nueva versión de dicha norma. Esta transición se realizarán en auditorias anuales de revisión programadas o en una auditoría extraordinaria.

ISOTools, es una Plataforma Tecnológica que ayudara las organizaciones tanto a sistematizar, adoptar como a evaluar la nueva ISO 27001:2013.