| 25 años generando CONFIANZA
ISO 27001
La norma ISO 27001 se presenta como un mecanismo de gran importancia para las entidades, ya que éstas desembolsan millones de dólares en firewalls y dispositivos de seguridad. Los sujetos encargados de administrar y emplear los equipos deben tener suficiente formación con el fin de que ese dinero se encuentre adecuadamente invertido.
La ISO y los Organismos Nacionales de Normalización
Nos referimos a una federación mundial de Organismos Nacionales de Normalización que se sitúan alrededor de 160 países, alcanza trabajar a nivel de Comités Técnicos y poseen como mínimo 19.000 estándares publicados desde el año 1947.
Las normas ISO
El gran aumento de la demanda de las empresas por implantar Sistemas de Gestión como el Sistema de Gestión de Seguridad de la Información, incrementó la cantidad de normas ISO y nacieron numerosas normas como pueden ser ISO 9001, ISO 27001, ISO 22301, ISO 20000, etc. Se pueden aplicar en todo tipo de entidad, con independencia de su tamaño, situación geográfica, etc.
La ISO y cómo nace la norma ISO 27001
Los estándares ISO se comprueban cada cuatro o cinco años. Algunas de las inspecciones que se confeccionan a la norma ISO 27001 se encuentran anticuadas. Por ello, se origina la necesidad de integrar los Sistemas de Gestión y nace el Anexo SL.
El proyecto de comprobación de la norma ISO27001 se admitió en mayo de 2009 a través de un post en el New Work Item (NWI). Los tres borradores primeros de trabajo mantenían la estructura de la edición anterior de la norma. La estructura de alto nivel “Anexo SL” y el texto básico que tratamos actualmente se aplican en el draft 4 incluso con la oposición de algunos organismos nacionales. En 2012, el Consejo de Gestión Técnica de ISO (TMG) determinó que la norma ISO 27001 tendría que adquirir la nueva estructura, aún si las desviaciones justificadas se adoptasen.
Se instauran alianzas para aumentar el nivel de abstracción. En cambio, la alianza para dejar caer la Declaración de Aplicabilidad no funcionó. Por ello se intentó terminar con el proyecto en numerosas ocasiones, pero no se logró.
El progreso de la norma ISO 27001
- 1998: BS 77779-2
- 2002: BS-7799-1
- 2005: ISO/IEC 27001:2005
- 2013: ISO/IEC 27001:2013
Anexo SL
Compone las normas y expresiones comunes. Hasta el momento disponemos de varias normas elaboradas bajo esta estructura:
- ISO 30301:2011: Información y Documentación – Sistemas de Gestión de Documentos – Requisitos (armonizado con el anexo SL).
- ISO 22301:2012: La seguridad societaria – los Sistemas de Gestión de Continuidad de Negocio – Requisitos (armonizado con el anexo SL)
- ISO 20121:2012: Sistemas de Gestión de la Sostenibilidad de Eventos- Requisitos con Orientación para su uso (armonizado con el anexo SL)
- ISO 27001:2013: Sistemas de Gestión de la Seguridad de la Información.
ISO 27001:2005 y la ISO 27001:2013
A continuación exponemos las ventajas e inconvenientes que muestra la nueva ISO 27001:2013.
Las ventajas que presenta son:
- Cualquiera de los documentos que se encuentren requeridos están claramente determinados y hacen referencia, tanto al tamaño de la entidad como a la complejidad de esta.
- Se alude todas las acciones preventivas que no se encontraban anteriormente.
- Mejora la integración con otros Sistemas de Gestión, ya que se encuentra con la estructura de alto nivel (Anexo SL), donde los términos y las definiciones ayudan a implementar.
- Todas las defunciones que encontramos en el estándar ISO 27001 y las inconsistencias se han eliminado.
- Los riesgos en la Seguridad de la Información debe ser abordada en su conjunto.
Los inconvenientes de la norma ISO 27001 son:
- La totalidad de los requisitos son un tanto más dificultosos de interpretar, ya que se incorporan nuevos conceptos.
- No se mencionan en ningún momento las políticas dentro del Sistema de Gestión de Seguridad de la Información.
- No podemos encontrar una especificación detallada de la identificación de los riesgos.
- Es una abstracción y es un nivel alto, que no se encuentran detallados.
- No se alude en ningún momento en toda la norma el enfoque que se le da al ciclo PHVA.
Distinciones entre la ISO 27001:2005 y la ISO 27001:2013
La ISO 27001:2005 se compone de:
- Cinco Clausulas.
- 178 requerimientos.
- El anexo A tiene 11 categorías de control (del 5 al 15).
- No Alude la ISO 31000 u otro estándar distinto.
La norma ISO 27001:2013 consta de:
- Siete Clausulas: La que más sobresale es el contexto de la organización.
- 154 requerimientos.
- 32 nuevos requerimientos.
- El anexo A tiene 14 categorías de control (del 5 al 18).
- Alude a la ISO 31000 en la cláusula 6.1 Acciones para la dirección de riesgos y oportunidades.
Nuevas formalidades de la norma ISO 27001:2013 que podemos recalcar son:
- 4.2. Entendiendo las necesidades y expectativas de la partes interesadas.
- 4.3. Determinar los objetivos del SGSI.
- 5.1. Liderazgo y compromiso.
- 6.1. Acciones para direccionar los riesgos y las oportunidades.
- 6.2. Los objetivos de seguridad de la información y la planificación para alcanzarlos.
- 7.3. Sensibilización.
- 7.4. Comunicación.
- 7.5. Información documentada.
- 8.1. Planificación y control operativo.
- 9.1. Seguimiento, medición, análisis y evaluación.
- 10.1. No-conformidades y acciones correctivas.
Encontramos un gran reto en los Sistemas de Gestión de Seguridad de la Información basados en la ISO 27001:2013, ya que los fundamentos que tenemos que reforzar son: Sensibilización, capacidades, partes interesadas, liderazgo, comunicación, propietario de riego, activos, gestión de riegos y oportunidades, etc.
La nueva norma ISO 27001:2013 se compone de controles de cantidad y controles tecnológicos menores, pero a su vez se compone de políticas de control mejores impuestas.
La totalidad de entidades que se han esforzado en implantar la norma ISO 27001:2005, tienen que tomar distintas estrategias a la hora de alinear su implantación a la ISO 27001:2013.
Sistema de Gestión de Seguridad de la Información
Para las organizaciones, cualquier protección se considera importante, por mínima que sea, pues todo descuido puede producir una violación de los datos de la misma entidad. Garantizar que los Sistemas de Gestión de Seguridad de la Información o SGSI funcionan correctamente es vital.
Por ello, os hablamos sobre los Sistemas de Gestión de Riesgos y Seguridad en: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...