ISO 27001 2013

Desde el pasado 2013, está disponible la nueva versión de la norma ISO 27001 2013. Esta norma se encuentra elaborada bajo la estructura que determina el Anexo SL.

En esta nueva versión no solo se establecen diferentes cambios en todo el contenido, sino que también se producen cambios en la estructura. Todo esto se ve reflejado en los documentos que forman parte de la familia ISO 27000.

 

 

Las primeras modificaciones se establecen en la estructura y en el contenido de los controles que conforman el Anexo A, en el que el número de apartados eran 11 y hoy día son 14, se disminuye el número de controles de 133 a 112, todo como resultado de un proceso de fusión, excluyendo e incorporando nuevos controles de seguridad.

La norma ISO 27001 2013 ha sido llevada a cabo según el Anexo SL, en el cual se facilita un formato y un conjunto de alineación para seguir con el desarrollo documental del sistema de gestión sin tener en cuenta el enfoque empresarial, está alineado bajo una misma estructura, todos los documentos que se relacionan con el sistema de gestión y evitar los problemas de integración con otros marcos de referencia. La nueva estructura es:

1. Introducción
2. Alcance
3. Referencias normativas
4. Términos y definiciones
5. Contexto de la organización
6. Liderazgo
7. Planificación
8. Soporte
9. Operación
10. Evaluación del desempeño
11. Mejora

Descripción de las principales secciones

0. Introducción

El cambio más significativo en todo el apartado ha sido la eliminación de la sección “Enfoque del proceso” que contenía la versión de ISO 27001 2005, donde se describe el modelo PHVA. Además de la que se mencionaba al alinearlo con el Anexo SL.

1. Alcance

Se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos de 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y poder certificarse.

2. Referencias normativas

La ISO 27002 ya no es una referencia normativa para la norma ISO 27001 2013, aunque continúa siendo necesario para el desarrollo de la declaración de aplicabilidad.

La norma ISO 27000 es una referencia normativa obligatoria y única, ya que contiene los nuevos términos y definiciones.

3.Términos y definiciones

Los términos y definiciones que se manejaban en la norma ISO 27001 han sido trasladados y agrupados en la sección 3 de la norma ISO 27000 2013, con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.

4. Contexto de la organización

En este apartado se hace hincapié en la identificación de los problemas externos e internos que engloban a la empresa.

5. Liderazgo

Se tiene que ajustar a la relación y la responsabilidad que tiene la alta dirección con respecto al Sistema de Gestión de Seguridad de la Información, por lo que podemos destacar de forma esporádica cómo se debe demostrar el compromiso, por ejemplo:

• Garantizar que se cumplan los objetivos del SGSI.
• Garantizar la disponibilidad de los recursos.
• Garantizar los roles y las responsabilidades.

6. Planeación

Esta sección está enfocada para definir los objetivos de seguridad, los cuales deben ser claros y deben contar con planes específicos para conseguirlos.

Es necesario presentar grandes cambios durante el proceso de evaluación de riesgos:

• El proceso para llevar a cabo la evaluación de riesgos
• El método utilizado para conseguir el objetivo a la hora de identificar los riesgos que se encuentran asociados
• Conocer el nivel de riesgo que se establece como base de la probabilidad de que suceda un riesgo
• Se elimina el término propietario del activo y se establece el término propietario del riesgo.

7. Soporte

Marca los requisitos de soporte para establecer, implementar y mejorar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013, en el que se incluye:

• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas

Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”, abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al Sistema de Gestión de Seguridad de la Información.

8. Operación

Establece todos los requisitos necesarios para medir el funcionamiento del Sistema de Gestión de Seguridad de la Información ISO 27001 2013, las expectativas de la dirección y su realimentación, además de cumplir con lo que establece la norma ISO 27001 2013.

Es necesario que las empresas tengan planificadas y controladas las operaciones y los requisitos de seguridad. Los activos, las vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos. Solo es necesario para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

9. Evaluación del desempeño

La base de la identificación y medición de la eficiencia y el desempeño del sistema de gestión sigue siendo la auditoría interna y las revisiones que se llevan a cabo en el sistema de gestión.

10. Mejora

El principal elemento que se utiliza durante el proceso de mejora son las no conformidades que están identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurarse de que no se repitan y que las acciones correctivas que se llevan a cabo sean efectivas.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.