Durante este mes de octubre BSI publicó la revisión del estándar internacional ISO/IEC-27001:2013, ya desde marzo de este año se habían publicado algunos borradores del nuevo estándar, a continuación vamos a enumerar algunos de los principales cambios incluidos en esta nueva versión.
Para comenzar, se realizaron cambios en su contenido, agregando y eliminando controles, reestructurando especialmente el Anexo “A” donde se aumenta a 14 los dominios de control y se reduce en 20 la cantidad de controles quedando en 113.
Esta nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Esta nueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura:
En los primeros tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además se define el alcance que tiene la normativa para poder certificar, centrándose en los requisitos cubiertos en los capítulos 4 a 10, y si bien ISO-27002 deja de ser una referencia normativa aún es necesaria para implementar este estándar.
En el capítulo 4 Contexto de la organización se resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización. De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas y que deben estar en el alcance del SGSI. En el capítulo 5 Liderazgo, se definen las responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los recursos necesarios para la implementación del sistema.
Dentro del capítulo 6 Planeación, se prioriza la definición de objetivos de seguridad claros que permita relacionar planes específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el enfoque se orienta hacia la identificación de aquellos riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, donde el nivel de riesgo aceptable se debe definir en función de la probabilidad de ocurrencia del riesgo y las consecuencias generadas en caso de que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se relacionan los requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema.
Dentro de los capítulos 4 al 7 se enmarca la etapa de Planeación del sistema. El capítulo 8 Operación, se asocia a la etapa Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las operaciones y requerimientos de seguridad, siendo el las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a los activos de información, las vulnerabilidades y las amenazas se utilizan para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
El capítulo 9 Evaluación del desempeño se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades. Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas establecer las acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan.
Si bien estas actualizaciones de estándares no incorporan cambios radicales en la forma que se gestiona la seguridad la información, sí se involucran nuevos conceptos y enfoques que mejoran y facilitan la implementación, además de adaptarse a la evolución de la tecnología y permitir enfocar los esfuerzos en lograr la actualización exitosa.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
