Uno de los principales elementos del estándar ISO/IEC 27001 es la definición de los requisitos para la planeación, implementación, revisión y mejora de un sistema de gestión de seguridad de la información (SGSI), junto con la lista de controles de seguridad descritos en su Anexo A.
A poco más de un año de la publicación de la nueva versión del estándar ISO/IEC 27001, la transición en la implementación del estándar de 2005 hacia el documento de 2013 todavía se encuentra en proceso para algunas organizaciones.
En este contexto y por estas razones hemos decido publicar la siguiente información, donde se plasman las principales similitudes y diferencias, entre las cláusulas de ambas versiones orientadas a una de las partes sustanciales del SGSI, la evaluación de riesgos.
- Uso de una metodología para la evaluación de riesgos
Una de las principales diferencias entre ambos documentos está relacionada con el uso de una metodología de evaluación de riesgos. Mientras que en la versión de 2005 en la cláusula 4.2.1 c) 1) establece como requisito esta actividad, en el documento de 2013 queda completamente descartada, abriendo la posibilidad de evaluar los riesgos sin la necesidad de utilizar un método o alguna metodología que conduzca la valoración de los mismos.
Sin embargo, independientemente del uso de una metodología, en ambas versiones del estándar se busca que los resultados de la evaluación sean consistentes, válidos y comparables. Esto significa principalmente que se evite la subjetividad en los resultados.
- Identificación de activos, vulnerabilidades y amenazas
En la versión de 2005 una característica es la realización de una evaluación de riesgos orientada a los activos, que permite la identificación de las vulnerabilidades, amenazas e impacto asociado a tales activos (incluida la información), descritas de las cláusulas 4.2.1 d) 1) a 4.2.1 d) 4).
Para la versión de 2013, no es requerida la identificación de los activos, vulnerabilidades o amenazas, es decir, no se necesita una evaluación de riesgos basada en activos, basta con que esta actividad permita la identificación de riesgos, asociados con la pérdida de confidencialidad, integridad o disponibilidad de la información considerada en el alcance del sistema de gestión.
- Identificación del dueño del riesgo y dueño del activo
Por otro lado, mientras que en el requisito 4.2.1 d) 1) de la versión de 2005 es necesario identificar a los dueños o propietarios de los activos, en la versión de 2013 esta actividad queda excluida. En este contexto se entiende por dueño a la persona o entidad con la responsabilidad sobre el activo y no necesariamente quien tiene derechos propietarios sobre el mismo. En algunos casos, el designado no necesariamente contaba con la autoridad para tomar decisiones respecto al activo que se le había encargado.
Si bien el término "dueño del activo" sigue siendo utilizado en la versión de 2013, únicamente aparece en el control A.8.1.2 (Propiedad de activos) del Anexo A. En su lugar, en la cláusula 6.1.2 c) 2) de la versión de 2013 aparece el término dueño del riesgo, es decir, la persona o entidad con la responsabilidad para gestionar el riesgo, mismo que se adopta para dotar de autoridad a los encargados de tomar decisiones relacionadas con el tratamiento de los riesgos de seguridad de la información.
- Definición de criterios de aceptación de riesgos
Si bien en ambas versiones de ISO 27001 el punto de partida para la evaluación es la definición de los criterios de aceptación de riesgos (cláusula 4.2.1 c) 2) en 2005 y 6.1.2 a) 1) en 2013), en la nueva versión se agrega un requisito para la definición de criterios para llevar a cabo una evaluación de riesgos (6.1.2 a) 2)).
Estos criterios varían de una organización a otra, sin embargo puede llevarse a cabo una evaluación de riesgos cuando se presente un cambio importante, por ejemplo, el uso de nuevas tecnologías, un nuevo ciclo de operación del sistema de gestión, la emisión de nuevas leyes o regulaciones, entre otros.
- Similitudes en la evaluación de riesgos
Las características que se mantienen están relacionadas con la evaluación de las consecuencias potenciales que se presentarían en caso de que un riesgo se materializara y el cálculo de la probabilidad realista de esta ocurrencia.
También se mantiene la determinación de los niveles de riesgo para su clasificación y la comparación de los resultados del análisis con los criterios previamente establecidos, para su priorización y posterior tratamiento.
En términos generales, hemos abordado los cambios relacionados con la evaluación de riesgos descritos por este estándar internacionalmente utilizado. Como se observa, las modificaciones abren las posibilidades para la realización de la evaluación.
Si bien algunos elementos han sido descartados en la versión de 2013, esto no significa que no puedan seguir siendo utilizados, siempre y cuando exista el apego con lo ahora descrito en el estándar. En este mismo orden de ideas, aplicar una metodología de evaluación de riesgos continúa siendo una buena práctica que permite aplicar las ideas generales de ISO 27001.
