Comparativa entre la ISO 27001:2013 y la ISO 27001:2005. Parte II

ISO 27001

Como ya comenzamos la semana pasada, hoy continuamos analizando la diferencia entre la norma ISO 27001:2005 y la nueva norma ISO 27001:2013. Durante este post hablaremos sobre el liderazgo, la planificación, el apoyo, la operación, la evaluación del desempeño y la mejora continua.

En esta cláusula se imponen los requisitos que debe cumplir la gerencia de la organización, que es la persona o grupo de personas que dirige y controla la empresa al más alto nivel. Se debe tener en cuenta que si la empresa que cuenta con el Sistema de Gestión de Seguridad de la Información es parte de una organización más grande, el término “top gestión” es referido a una empresa más pequeña. El propósito de todos estos requisitos es demostrar el liderazgo y el compromiso que se adquiere desde la parte más elevada de la organización.

La responsabilidad particular de la gerencia de la organización es constituir una política de seguridad de la información, y la norma ISO27001 define todas las características y las propiedades que se deben incluir en dicha política.

En último lugar, la cláusula impone todos los requisitos de la gerencia de la empresa para asignar las responsabilidades en el tema de seguridad de la información y de las autorizaciones, se debe destacar los roles particulares pertenecientes a la conformidad del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 y presentar todos los informes necesarios para demostrar el desempeño del Sistema de Gestión de Seguridad de la Información.

• General

En esta cláusula se trabaja con los apartados 4.1 y 4.2 de la norma ISO 27001 para poder completar la nueva manera de hacer frente a las acciones preventivas. En la primera parte del apartado se refiere al tratamiento de riesgos. Durante la evaluación y del tratamiento de riesgos de Seguridad de la Información hablaremos a continuación, ya que las organizaciones pueden utilizar este apartado para considerar el Sistema de Gestión de Seguridad de la Información con sus riesgos y oportunidades.

La información de evaluación de riesgos de seguridad se refiere específicamente a la evaluación del riesgo para la seguridad de la información. Se alinea con todos los principios y las orientaciones cedidas en la norma ISO 31000, en este apartado se elimina la necesidad de identificar los activos, amenazas y la vulnerabilidad, como principal requisito para poder identificar todos los riesgos. Eso hace que se amplíe la posibilidad de elegir los métodos utilizados para evaluar el riesgo de que una empresa pueda utilizar y ser compatible con el estándar.

Durante esta cláusula también hablamos del riesgo en los criterios de aceptación de evaluación, lo que permite que los criterios no solo sean a nivel del riesgo. Los criterios de aceptación de riesgos ahora pueden expresarse en términos a diferentes niveles, por ejemplo, los tipos de control que utilizamos para tratar el riesgo.

En las cláusulas nos referimos a los titulares de riesgo en lugar de referirnos a los propietarios de activos y más tarde se requiere la aprobación del plan de tratamiento de riesgos y los riesgos residuales.

• Los objetivos de Seguridad de la Información y planificación para conseguirlos

Durante este apartado nos referimos a todos los objetivos de seguridad de la información. Se utiliza la frase “las funciones y niveles pertinentes”, donde el término función es referido a las funciones que realiza la organización y el término nivel, son los niveles de gestión, de los que la gerencia de la dirección es el nivel más elevado. El apartado define todas las propiedades que una empresa debe tener para alcanzar los objetivos de seguridad de la información.

Comenzamos con los requisitos que la organización debe determinar y proporcionar todos los recursos necesarios para establecer, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.

Continuamos con los requisitos necesarios para ser competentes, como puede ser la comunicación, requisito que viene expresado en la norma ISO 27001.

Por último, los requisitos de información documentada es un nuevo término que sustituye las referencias de la norma ISO 27001:2005 a los documentos y registros. Los requisitos que se refieren a la creación y actualización de documentos, así como su control.

Durante este apartado podemos ver la ejecución de los planes y los procesos que son el objetivo de los apartados anteriores:

• Se puede ocupar de ejecutar todas las acciones que hemos determinado anteriormente, conseguir los objetivos de seguridad de la información y externalizar todos los procesos.
• Se debe realizar la evaluación de los riesgos de seguridad de la información dentro de unos intervalos de tiempo planificados.
• Se tiene que aplicar un plan de tratamiento de riesgos.

• Monitoreo, medición, análisis y evaluación: como principal recomendación se debe evaluar el desempeño de seguridad de la información y la eficacia del Sistema de Gestión de Seguridad de la Información.
• Auditoría interna: gestionar los requisitos del responsable es garantizar las acciones que se tienen en cuenta en las auditorías. Un requisito que deben cumplir los auditores es que no pueden auditar su propio trabajo, ya que deben asegurar la objetividad y la imparcialidad.
• Gestión: se imponen los requisitos sobre los temas que necesitan ser revisados al menos una vez al año.

Como hay nuevas formas de manejar las acciones preventivas, ya que no existen los requisitos de la acción preventiva en este apartado. Sin embargo, hay muchos nuevos requisitos de acciones correctivas.

La primera acción correctiva se utiliza para las no conformidades, según sea el caso, para controlar y corregir la no conformidad según las consecuencias de estas.

En el segundo caso se determina si existen no conformidades similares, o podría ocurrir potencialmente.

El concepto de acción preventiva ha evolucionado todavía persiste la necesidad de tener en cuenta las no conformidades potenciales, aunque sea como una consecuencia de una no conformidad real.

La organización también tiene la obligación de garantizar que las acciones correctivas son apropiadas en todos los efectos referentes a las no conformidades encontradas. El requisito para la mejora continua se ha extendió a cubrir la idoneidad y la suficiencia del Sistema de Gestión de Seguridad de la Información, además de su eficacia, pero no se especifica como la organización consigue esto.

El Software ISO para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.