Para terminar con la revisión de los cambios en la norma para gestionar la seguridad de la información, ISO 27000:2013, vamos a contar con detalle las novedades sobre la ISO/IEC 27002:2013, la cual está asociada con el Anexo A de la ISO/IEC 27001:2013.
La norma ISO 27002 fue publicada originalmente como un cambio de nombre de la norma ISO 17799, la cual se basaba en un documento publicado por el gobierno del Reino Unido, que se convirtió en estándar en 1995. Fue en el 2000 cuando se publicó por primera vez como ISO 17799, y en 2005 aparece una nueva versión, junto con la publicación de la norma ISO 27001. No debe olvidarse que estos dos documentos están destinados a ser utilizados de forma complementaria.
Dentro de ISO/IEC 27002 se extiende la información de los renovados anexos de ISO/IEC 27001-2013, donde básicamente se describen los dominios de control y los mecanismos de control, que pueden ser implementados dentro de una organización, siguiendo las directrices de ISO 27001. En esta nueva versión de la norma se encuentran los controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los cuales se encuentra expuesta la organización.
Con la actualización de esta norma las organizaciones pueden encontrar una guía que sirva para la implementación de los controles de seguridad de la organización y de las prácticas más eficaces para gestionar la seguridad de la información. Aunque antes de pensar en cómo migrar al nuevo estándar ISO/IEC 27001:2013, es importante tener en cuenta que las categorías de los controles se han mezclado un poco, esto buscando que los dominios de control tengan una estructura más coherente.
Dentro de los cambios interesantes de resaltar que lo relacionado con dispositivos móviles y teletrabajo que antes estaba asociado al Control de Accesos, ahora se encuentra dentro de la sección 6 “Organización de la Seguridad de la Información”. Y dentro de la sección de Control de Accesos se engloba lo relacionado con acceso al sistema operativo, a las aplicaciones y la información. Todo lo relacionado con Criptografía es un dominio de control nuevo, sección 10, dentro de la cual se incluyen todo los controles criptográficos sugeridos para una organización. En el caso de los controles que deben tenerse en cuenta en el caso de la recuperación de desastres están dentro de la sección 17.
Además cabe resaltar que existen versiones específicas de la norma ISO/IEC 27002, enfocadas en diferentes tipos de empresas: manufactureras, sector de la salud, sector financiero, entre otros. Si bien la nomenclatura ISO es diferente, son normas que toman como referencia la ya mencionada ISO 27002 y por tanto lo tanto están alienados para la correcta gestión de la seguridad de la información.
Nuevamente es importante recordar la importancia de conocer los cambios sobre los estándares, si bien no influyen sobre la efectividad de la gestión de la seguridad de la información si pueden ayudar a incrementar su eficiencia además de ser necesarios para cumplir con todos los requerimientos de cara a una recertificación.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
