Raquel Porciúncula, Co-editora de la ISO 27003 en la ISO/IEC JTC1 SC27 y responsable de proyectos de Seguridad de la Información en Ozona Consulting
A finales de este año será presentada la nueva versión de esta
norma internacional. Hay una gran expectativa sobre las novedades
incluidas, ya que se trata de la primera actualización desde que se
adoptó la original de este estándar en el 2005. Tras ocho años, ha
habido cambios muy significativos, incluyendo amenazas, vulnerabilidades
y riesgos.
Hace más de dos años que se inició este proyecto de actualización
que ha contado con la participación de especialistas de más de 60
países. Esta nueva versión incluye muchas novedades, tanto a nivel del
sistema de gestión como a nivel de controles de seguridad de la
información.
Para empezar, la norma tiene una nueva estructura
común a todas las normas ISO. Por ejemplo, la norma ISO 22301:2012 de
gestión de la continuidad del negocio usa la misma estructura. Las
futuras versiones de la ISO 9001 y de la ISO 20000 también serán
adaptadas a esta estructura, facilitando la interpretación de las
diferentes normas y su implementación conjunta.
Todas las
definiciones que estaban en la versión de 2005 han sido eliminadas, y
aquellas que aún son relevantes, han sido reubicadas en la ISO/IEC
27000. Así, se garantiza la coherencia de los términos y de las
definiciones en todas las normas de la familia 27000. La sección de la
norma ISO/IEC 27001:2005 que menciona el “enfoque basado en procesos”,
incluyendo el modelo PDCA (Plan-Do-Check-Act) ha sido eliminada,
ya que ISO reconoce que el requisito realmente importante es la mejora
continua, y por lo tanto, existen otras formas, además del PDCA,
igualmente válidas para cumplir este requisito.
Otro cambio,
también en introducción, tiene que ver con el orden en el que aparecen
los requisitos en la norma del Sistema de Gestión de la Seguridad de la
Información (SGSI). Es decir, el orden no tiene que ser el orden en el
que los requisitos tienen que ser implementados Es irrelevante. Lo
importante es que se cumplan todos los requisitos una vez se realice la
implementación completa del SGSI.
En relación con el Sistema de
Gestión, la edición de 2005 contaba con 102 requisitos obligatorios
incluidos en las cláusulas de la 4 a la 8. Ahora, en la versión de 2013,
se han añadido 28 requisitos más, quedando un total de 130 requisitos,
en las cláusulas de la 4 a la 10. También el número de cláusulas ha sido
reorganizado, lo que ha implicado la creación de nuevas secciones.
Por
ejemplo, se ha incluido una nueva sección sobre la comunicación interna
y externa relevante para el SGSI. Sin embargo, se ha eliminado la
cláusula que listaba todos los documentos necesarios para el SGSI. Esto
evita la duplicación y producción de documentos con nombres específicos a
excepción del SOA (Statement of Aplicabilitiy), que se mantiene. Aquí se pretende destacar que lo importante es el contenido y no el nombre del documento.
Otro
ejemplo es la introducción de dos nuevas cláusulas “Entender a la
organización y su contexto” y “Entender las necesidades y expectativas
de las partes interesadas” para determinar el contexto y el ámbito del
SGSI. Además, ya no es necesario proporcionar un framework de objetivos, pasando a ser necesario establecer los objetivos sólo en niveles y funciones relevantes.
Nuevo enfoque para la gestión de riesgos
Uno
de los cambios más importantes de la norma es definir un nuevo enfoque
para la aplicación del riesgo, tanto en la fase de “planificación” como
en la fase de “operación”. Los requisitos de evaluación de riesgos son
más genéricos y están alineados con la ISO 31000:2009. Por lo tanto, ya
no es necesario identificar los activos, las amenazas y las
vulnerabilidades con el fin de identificar los riesgos. Si la
metodología de evaluación de riesgos utilizada en la organización usa
este método y funciona, se puede mantener -no hay necesidad de
cambiarlo-. Sin embargo, hay métodos alternativos, perfectamente válidos
que se pueden usar si se prefiere, que no utilizan activos, amenazas
y/o vulnerabilidades para identificar los riesgos.
También hay
nuevos requisitos generales que tienen como objetivo cubrir riesgos y no
únicamente riesgos de seguridad de la información (en la versión del
2005 se trata este tema con acciones correctivas). Se introduce además
una nueva función en el proceso de evaluación del riesgo, que es la de risk owner.Otros cambios tienen que ver, por ejemplo, con la sustitución del concepto de “Política del SGSI” por “Política de Seguridad de la Información” o “Management” por “Top Management”. Hay otros conceptos que han quedado obsoletos, por ejemplo “asset” y “record”.
Los
controles del Anexo A disminuyen con respecto a la versión de 2005,
pasando de 133 a un total de 114, es decir, se eliminan 19 controles en
este anexo. Sin embargo, a pesar de esta disminución, el anexo que
estaba formado por 11 dominios, de A.5 a A.15, ha pasado a estar formado
por 14, de A.5 al A.18. En la nueva versión se han separado 2 dominios y
se ha creado uno nuevo sobre “Relaciones con el Proveedor” en respuesta
a la popularidad del “Cloud Computing” y a los esfuerzos para
proteger las cadenas de suministro. Esta mejora en la estructura del
Anexo A, tiene un impacto en la claridad y alineación con las políticas,
procesos y procedimientos de negocio ya existentes.
Además de
haber cambiado el número de controles, otro cambio importante en el
Anexo A tiene que ver con su aplicación. En la nueva versión de la ISO
27001 ya no es necesario “seleccionar” controles del Anexo A. En cambio,
las organizaciones deben “determinar” cuales son los controles
necesarios, como parte del tratamiento de riesgos, y comparar esos
controles con los del Anexo A, para garantizar que no se ha olvidado
ningún control importante.
Impacto en las empresas ya certificadas
Todos
estos cambios van a tener impacto en miles de empresas ya certificadas.
Cuando la ISO/IEC 27001:2013 sea oficialmente publicada, todas las
organizaciones, tendrán un periodo de tiempo (aún por definir, aunque
generalmente es de dos años), para efectuar la transición a la nueva
versión de la norma. La transición se podrá realizar en alguna de las
auditorías anuales de revisión programadas, o mediante una auditoria
extraordinaria.
Desde la aprobación inicial de la ISO/IEC 27001 en
2005 el número de empresas registradas y certificadas pasó de 5797 a
17850 a finales del año 2011. Entre los países con más empresas
certificadas en esta norma, se encuentra Japón, Rumanía, China,
Inglaterra, India e Italia. España cuenta con, aproximadamente, 650
empresas certificadas.
Para estas empresas ya certificadas, se recomienda contratar una auditoria interna de migración, que identifique los gaps que
la organización debe resolver para mantener la conformidad con la nueva
versión de la norma y garantizar que no se tengan no conformidades en
la auditoria externa al migrar a la nueva versión de la norma.
Impacto en las empresas no certificadas
Fuente original:redseguridad.com
No hay comentarios:
Publicar un comentario