viernes, 26 de julio de 2013

Nuevo impulso a la seguridad de la información con la ISO 27001:2013


Raquel Porciúncula, Co-editora de la ISO 27003 en la ISO/IEC JTC1 SC27 y responsable de proyectos de Seguridad de la Información en Ozona Consulting

A finales de este año será presentada la nueva versión de esta norma internacional. Hay una gran expectativa sobre las novedades incluidas, ya que se trata de la primera actualización desde que se adoptó la original de este estándar en el 2005. Tras ocho años, ha habido cambios muy significativos, incluyendo amenazas, vulnerabilidades y riesgos.
Hace más de dos años que se inició este proyecto de actualización que ha contado con la participación de especialistas de más de 60 países. Esta nueva versión incluye muchas novedades, tanto a nivel del sistema de gestión como a nivel de controles de seguridad de la información.

Para empezar, la norma tiene una nueva estructura común a todas las normas ISO. Por ejemplo, la norma ISO 22301:2012 de gestión de la continuidad del negocio usa la misma estructura. Las futuras versiones de la ISO 9001 y de la ISO 20000 también serán adaptadas a esta estructura, facilitando la interpretación de las diferentes normas y su implementación conjunta.
Todas las definiciones que estaban en la versión de 2005 han sido eliminadas,  y aquellas que aún son relevantes, han sido reubicadas en la ISO/IEC 27000. Así, se garantiza la coherencia de los términos y de las definiciones en todas las normas de la familia 27000. La sección de la norma ISO/IEC 27001:2005 que menciona el “enfoque basado en procesos”, incluyendo el modelo PDCA (Plan-Do-Check-Act) ha sido eliminada, ya que ISO reconoce que el requisito realmente importante es la mejora continua, y por lo tanto, existen otras formas, además del PDCA, igualmente válidas para cumplir este requisito.

Otro cambio, también en introducción, tiene que ver con el orden en el que aparecen los requisitos en la norma del Sistema de Gestión de la Seguridad de la Información (SGSI). Es decir, el orden no tiene que ser el orden en el que los requisitos tienen que ser implementados Es irrelevante. Lo importante es que se cumplan todos los requisitos una vez se realice la implementación completa del SGSI.

En relación con el Sistema de Gestión, la edición de 2005 contaba con 102 requisitos obligatorios incluidos en las cláusulas de la 4 a la 8. Ahora, en la versión de 2013, se han añadido 28 requisitos más, quedando un total de 130 requisitos, en las cláusulas de la 4 a la 10. También el número de cláusulas ha sido reorganizado, lo que ha implicado la creación de nuevas secciones.
Por ejemplo, se ha incluido una nueva sección sobre la comunicación interna y externa relevante para el SGSI. Sin embargo, se ha eliminado la cláusula que listaba todos los documentos necesarios para el SGSI. Esto evita la duplicación y producción de documentos con nombres específicos a excepción del SOA (Statement of Aplicabilitiy), que se mantiene. Aquí se pretende destacar que lo importante es el contenido y no el nombre del documento.
Otro ejemplo es la introducción de dos nuevas cláusulas “Entender a la organización y su contexto” y “Entender las necesidades y expectativas de las partes interesadas” para determinar el contexto y el ámbito del SGSI. Además, ya no es necesario proporcionar un framework de objetivos, pasando a ser necesario establecer los objetivos sólo en niveles y funciones relevantes.

Nuevo enfoque para la gestión de riesgos
Uno de los cambios más importantes de la norma es definir un nuevo enfoque para la aplicación del riesgo, tanto en la fase de “planificación” como en la fase de “operación”. Los requisitos de evaluación de riesgos son más genéricos y están alineados con la ISO 31000:2009. Por lo tanto, ya no es necesario identificar los activos, las amenazas y las vulnerabilidades con el fin de identificar los riesgos. Si la metodología de evaluación de riesgos utilizada en la organización usa este método y funciona, se puede mantener -no hay necesidad de cambiarlo-. Sin embargo, hay métodos alternativos, perfectamente válidos que se pueden usar si se prefiere, que no utilizan activos, amenazas y/o vulnerabilidades para identificar los riesgos.
También hay nuevos requisitos generales que tienen como objetivo cubrir riesgos y no únicamente riesgos de seguridad de la información (en la versión del 2005 se trata este tema con acciones correctivas). Se introduce además una nueva función en el proceso de evaluación del riesgo, que es la de risk owner.
Otros cambios tienen que ver, por ejemplo, con la sustitución del concepto de “Política del SGSI” por “Política de Seguridad de la Información” o “Management” por “Top Management”. Hay otros conceptos que han quedado obsoletos, por ejemplo “asset” y “record”.
Los controles del Anexo A disminuyen con respecto a la versión de 2005, pasando de 133 a un total de 114, es decir, se eliminan 19 controles en este anexo. Sin embargo, a pesar de esta disminución, el anexo que estaba formado por 11 dominios, de A.5 a A.15, ha pasado a estar formado por 14, de A.5 al A.18. En la nueva versión se han separado 2 dominios y se ha creado uno nuevo sobre “Relaciones con el Proveedor” en respuesta a la popularidad del “Cloud Computing” y a los esfuerzos para proteger las cadenas de suministro. Esta mejora en la estructura del Anexo A, tiene un impacto en la claridad y alineación con las políticas, procesos y procedimientos de negocio ya existentes.
Además de haber cambiado el número de controles, otro cambio importante en el Anexo A tiene que ver con su aplicación. En la nueva versión de la ISO 27001 ya no es necesario “seleccionar” controles del Anexo A. En cambio, las organizaciones deben “determinar” cuales son los controles necesarios, como parte del tratamiento de riesgos, y comparar esos controles con los del Anexo A, para garantizar que no se ha olvidado ningún control importante.

Impacto en las empresas ya certificadas
Todos estos cambios van a tener impacto en miles de empresas ya certificadas. Cuando la ISO/IEC 27001:2013 sea oficialmente publicada, todas las organizaciones, tendrán un periodo de tiempo (aún por definir, aunque generalmente es de dos años), para efectuar la transición a la nueva versión de la norma. La transición se podrá realizar en alguna de las auditorías anuales de revisión programadas, o mediante una auditoria extraordinaria.
Desde la aprobación inicial de la ISO/IEC 27001 en 2005 el número de empresas registradas y certificadas pasó de 5797 a 17850 a finales del año 2011. Entre los países con más empresas certificadas en esta norma, se encuentra Japón, Rumanía, China, Inglaterra, India e Italia. España cuenta con, aproximadamente, 650 empresas certificadas.
Para estas empresas ya certificadas, se recomienda contratar una auditoria interna de migración, que identifique los gaps que la organización debe resolver para mantener la conformidad con la nueva versión de la norma y garantizar que no se tengan no conformidades en la auditoria externa al migrar a la nueva versión de la norma.

Impacto en las empresas no certificadas
Para las empresas que están en fase de implementación de la norma, pero aún no se han certificado, se espera que dispongan de un plazo de un año para certificarse con la versión antigua. Después de este plazo, sólo se podrán certificar en la versión de 2013.
 
Fuente original:redseguridad.com
 
 
 

No hay comentarios: