ISO 27001:2015: Un cambio en la Integración de los Sistemas de Gestión

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001:2013: Un cambio en la Integración de los Sistemas de Gestión

ISO 27001:2013: Un cambio en la Integración de los Sistemas de Gestión

ISO 14001

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 se convierte en una herramienta muy importante para las organizaciones, ya que estas gastan millones de dólares en firewalls y dispositivos de seguridad, pero para este dinero se encuentre bien invertido se debe tener en cuenta que las personas encargas de utilizar y administrar los equipos tienen la suficiente formación.

La ISO  y sus principios de gestión

Hablamos de una federación mundial de organismos nacionales de normalización que se encuentran en unos 160 países, llega a trabajar a nivel de Comités Técnicos y tienen al menos 19000 estándares publicados desde el año 1947.

Su trabajo se centra en función a 8 principios básicos de gestión:

  1. Orientación al cliente.
  2. Liderazgo.
  3. Participación del personal.
  4. Enfoque de procesos.
  5. Enfoque de sistemas de gestión.
  6. Mejora continua.
  7. Enfoque de mejora continúa.
  8. Relación mutuamente beneficiosa con el proveedor.

La norma ISO y sus estándares

El incremento tan grande de demanda de las organizaciones por implementar Sistemas de Gestión aumento el número de estándares de ISO, por lo que nacieron muchas normas como pueden ser ISO 9001, ISO 27001, ISO 22301, ISO 20000, etc. Los estándares ISO se pueden aplicar en cualquier tipo de organización, independientemente de su tamaño, situación geográfica, etc.

 

La ISO y cómo nace la norma ISO 27001:2013

Los estándares ISO se revisan cada 4 o 5 años. Muchos de los contorles que se realizan de la norma ISO 27002 se encuentran obsoletos. Se crea la necesidad de integrar los Sistemas de Gestión por lo que nace el Anexo SL.

El proyecto de revisión de la norma ISO 27001:2013 se aprobó en mayo 2009 mediante un artículo en el New Work Item (NWI). Los primeros 3 borradores de trabajo conservaban la estructura de la edición anterior de la norma. La estructura común y el texto básico que conocemos en la actualidad aplican el draft 4 pese a la oposición de varios organismos nacionales. En el año 2012 el Consejo de Gestión Técnica de ISO (TMG) decidió que la norma ISO 27001 tenía que seguir la nueva estructura, aunque las desviaciones justificadas se admitieran. Se crean alianzas para elevar el nivel de abstracción, sin embargo la alianza para dejar caer la Declaración de Aplicabilidad fallo. Se intentó acabar con el proyecto en multiples ocasiones, pero no se consiguió.

La evolución de la norma ISO 27001

  • 1998: BS 77779-2
  • 2002: BS-7799-1
  • 2005: ISO/IEC 27001:2005
  • 2013: ISO/IEC 27001:2013

Anexo SL

Integrar las normas y términos comunes

  • ISO 30301:2011: Información y Documentación – Sistemas de Gestión de Documentos – Requisitos (armonizado con el anexo SL).
  • ISO 22301:2012: La seguridad societaria – los Sistemas de Gestión de Continuidad de Negocio – Requisitos (armonizado con el anexo SL)
  • ISO 20121:2012: Sistemas de Gestión de la Sostenibilidad de Eventos- Requisitos con Orientación para su uso (armonizado con el anexo SL)
  • ISO 27001:2013: Sistemas de Gestión de la Seguridad de la Información.

ISO 27001:2005 y la ISO 27001:2013

comparativa

Las ventajas y las desventajas que presenta la nueva ISO 27001:2013.

Las ventajas son las siguientes:

  • Mejora la integración con otros Sistemas de Gestión, ya que se encuentra con la estructura de alto nivel (Anexo SL), donde los términos y las definiciones ayudan a implementar.
  • Todas las defunciones que encontramos en el estándar ISO 27001 y las inconsistencias se han eliminado.
  • Los riesgos en la Seguridad de la Información debe ser abordada en su conjunto.
  • Todos los documentos que se encuentran requeridos están claramente establecidos y hacen referencia, tanto al tamaño de la organización como a la complejidad de esta.
  • Se mencionan todas las acciones preventivas que no existían anteriormente.

Las desventajas de la norma ISO 27001 son:

  • Es una abstracción y es un nivel alto, que no se encuentran detallados.
  • Todos los requisitos son un tanto más difíciles de interpretar, ya que se incorporan nuevos conceptos.
  • No se menciona en ningún momento en toda la norma el enfoque que se le dá al PDCA.
  • No se mencionan en ningún momento las políticas dentro del Sistema de Gestión de Seguridad de la Información.
  • No podemos encontrar una descripción detallada de la identificación de los riesgos.

Diferencia entre la ISO 27001:2005 y la ISO 27001:2013

La ISO 27001:2005 consta de:

  • 5 Clausulas
  • 178 requerimientos
  • El anexo A tiene 11 categorías de control (del 5 al 15)
  • No menciona la ISO 31000 u otro estándar

La norma ISO 27001:2013 cuenta con:

  • 7 Clausulas: Las más resaltante es el contexto de la organización.
  • 154 requerimientos
  • 32 nuevos requerimientos
  • El anexo A tiene 14 categorías de control (del 5 al 18)
  • Menciona a la ISO 31000 en la cláusula 6.1 Acciones para la dirección de riesgos y oportunidades.

Los nuevos requerimientos de la norma ISO 27001:2013 que podemos destacar son:

  • 4.2. Entendiendo las necesidades y expectativas de la partes interesadas.
  • 4.3. Determinar los objetivos del SGSI.
  • 5.1. Liderazgo y compromiso.
  • 6.1. Acciones para direccionar los riesgos y las oportunidades.
  • 6.2. Los objetivos de seguridad de la información y la planificación para alcanzarlos.
  • 7.3. Sensibilización.
  • 7.4. Comunicación.
  • 7.5. Información documentada.
  • 8.1. Planificación y control operativo.
  • 9.1. Seguimiento, medición, análisis y evaluación.
  • 10.1. No-conformidades y acciones correctivas.

 

Podemos encontrar un gran reto en la Gestión de la Seguridad de la Información con la nueva ISO 27001:2013, ya que los conceptos que debemos reforzar son: Partes interesadas, liderazgo, comunicación, sensibilización, capacidades, propietario del riegos, activos, gestión de riegos y oportunidades, entre muchos otros.

Se cuenta con un año para que las empresas que estén certificadas con la versión de ISO 27001:2005 se adapten a la nueva versión de ISO 27001.2013.

La norma ISO 27001:2013 cuenta con muchos menos controles de cantidad y en métodos hay menos controles tecnológicos, aunque adicionalmente  se cuenta con políticas de control más claras.

Todas las organizaciones que han realizado el esfuerzo de implantar la norma ISO 27001:2005, deben tomas diferentes estrategias para alinear su implementación a la ISO 27001:2013.

Software para ISO 27001

El Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5,00 out of 5)
Cargando…