ISO 27001:2013, las áreas que tienen que ser replanteadas
ISO 27001
En la cláusula 4.3 tiene la clara intención de dejar claro el alcance del Sistema de Gestión de Seguridad de la Información incluyendo todo lo que es de interés para la norma ISO 27001.
El alcance del SGSI tiene que considerar los riesgos externos que existen, como pueden ser hackers o los desastres naturales, además de las funciones realizadas por las organizaciones que tenga subcontratadas.
La organización puede llegar a la conclusión de que es necesario incluir dentro del alcance del Sistema de Gestión de Seguridad de la Información entidades que antes no se encontrabas incluidas. La transición a la norma ISO 27001:2013 genera una clara oportunidad de redefinir el alcance del Sistema de Gestión de Seguridad de la Información en la organización, y así poder demostrar la conformidad de la empresa con la cláusula 4.3. de la norma ISO27001.
Si la empresa considera que sus objetivos de Seguridad de Información la política de seguridad, según el requisito de la cláusula 6.2, que se encuentre referido a “las funciones y niveles pertinentes”, puede ser entendido como una sorpresa.
Sólo puede requerir un cambio en la forma en la que se conformidad se describe. Hay una elevada probabilidad de que una empresa establezca los objetivos de todas las funciones y niveles pertinentes, y es sólo una cuestión de reconocimiento de lo que se hace y de cómo se hace.
Es una buena práctica el colocar las acciones que tienen que definir los objetivos, asignar las responsabilidades oportunas y establecer las fechas límites de las metas. Si una organización hace esto, se puede decir que se encuentra conforme con esta cláusula.
La declaración de aplicabilidad
El Anexo A se ha actualizado para poder reflejar los controles que son ahora descritos en la norma ISO 27001:2013. Las organizaciones no están obligadas a seleccionar los controles del Anexo A, que todavía se utiliza para determinar los controles necesarias que han sido omitidos y las empresas si están obligadas a realizar una declaración de aplicabilidad. El formato de ISO 27001:2013 para realizar la declaración de aplicabilidad no tiene por qué ser diferente a la norma anterior.
Dentro del conjunto de control se requieren a las organizaciones actualizar su declaración de aplicabilidad. Al actualizar la declaración de aplicabilidad se debe tener cuidado a la hora de asegurar el control de aplicación que se ajuste estrictamente a la redacción ofrecida por el Anexo A.
Las partes interesadas y sus requisitos
La organización tiene que determinar cuál es el papel de las partes interesadas, ya que son relevantes para el Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 y todos sus requisitos. Es muy probable que una empresa conozca toda esta información. Por lo que hay que hacer es definir la identificación en la que se documenta esta información y hacer referencia a ella. La empresa también es probable que haya que hacer uso de esta información, es decir, proporcionar la conformidad con otras cláusulas de la norma ISO 27001.
Integración
La gerencia de la organización tiene que asegurar la integración de los requisitos del SGSI en los procesos de negocio de la empresa. Si las funciones que se llevan a cabo en el negocio de la organización tiene que ser representados por un conjunto de uno o más diagramas de flujo y por lo tanto, las actividades corresponden a los requisitos del Sistema de Gestión de Seguridad de la Información que se extendió por todos estos flujos de trabajo, por lo que los requisitos de la integración fueron reunidos.
Si los requisitos del Sistema de Gestión de Seguridad de la Información se encuentran en un solo flujo de trabajo, entonces la integración puede que no cumpla. Si existen diagramas de flujo, se puede visualizar de una forma mucho más rápida y sencilla, por lo que se puede demostrar la conformidad más fácilmente. Si el requisito de integración no se cumple, entonces el concepto de flujo de trabajo puede proporcionar una ruta para conseguir el objetivo.
Comunicación
Los requisitos de la cláusula 7.4 son mucho más específicos que los requisitos equivalentes a la versión anterior del estándar ISO27001. Los nuevos requisitos siguen un patrón común en la práctica y por lo tanto los requisitos de comunicación se pueden ver más satisfechos.
Cuestiones
Es muy probable que las cuestiones mencionadas en la cláusula 4.1 sean bien conocidos por una organización, pero no es necesario realizarla por escrito, sino que se pude demostrar de otras formas su conformidad.
Una importante cuestión que la mayoría de las organizaciones sería su motivación por tiene un Sistema de Gestión de Seguridad de la Información. La organización tiene que saber que este el motor por el que el SGSI sería diseñado. Se debe tener en cuenta que la motivación puede verse modificada a lo largo del tiempo.
Los que se encuentra interesados en la seguridad de la información son desconocidos para las organizaciones, y esto puede generar que se diseñe la política de Seguridad de la Información de evaluación y tratamiento de riesgos.
Otras cuestiones que se tienen que abordar por la organización se encuentran relacionadas con el Sistema de Gestión de Seguridad de la Información según la ISO-27001, como puede ser el compromiso de la dirección y la motivación personal. Las organizaciones tienen que considerar, a través de la gestión y los registros de las acciones preventivas para realizar reuniones en las que se responderán las cuestiones expuestas.
Existen muchos procedimientos de actuación preventivas que tendrán que ser revisadas e incluso sustituidas para asegurar la conformidad con las cláusulas de la norma ISO 27001:2013.
Los requisitos que encontramos en el apartado 9.1 son los más detallados y exactos del Sistema de Gestión de Seguridad de la Información y la efectividad del control de ISO 27001:2005. Desde la perspectiva de la transición lo mejor es comenzar con una hoja en blanco.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISO cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO27001.
