4 feb 2013

Cambios en la nueva ISO 27001 2013 Draft (I)

Desde hace unos días y hasta marzo se encuentra disponible públicamente en el sitio web de BSI la versión DIS (Draft) de la nueva norma ISO 27001:2013, de la cual ya publicamos algunas impresiones previas. Aunque este borrador puede diferir bastante de la versión final de la norma (se espera que se publicará en el segundo semestre de 2013), el propósito es que pueda ser revisada durante un debate público.
Como gentileza hemos puesto una versión de estudio del Draft de ISO 27000:2013 (archivo ZIP con contraseña: www.segu-info.com.ar), sin licencia para su uso.

Actualización: ISO ha puesto una versión de ISO 27000 disponible para uso privado en descarga directa. El documento es una licencia para un solo usuario y para uso privado en un ordenador personal. En ningún caso, el archivo electrónico descargado dispone de licencia legal para ser copiado, transferido o colocado en una red de cualquier tipo sin la autorización del propietario del copyright.

En comparación con la antigua (aún vigente en el momento de escribir este artículo) ISO/IEC 27001 de 2005, los cambios no son en realidad demasiado drásticos y aquí están las principales diferencias:

La estructura

Como era de esperar, la nueva norma ISO 27001 será compatible con el Anexo SL de ISO/IEC, con el fin de ajustarse a todas las normas de gestión, lo cual ya es evidente en la norma ISO 22301, de continuidad de negocio. Por lo tanto, aquí están las cláusulas principales que se pueden ver en todos los niveles de gestión:
  1. Introduction
  2. Scope
  3. Normative references
  4. Terms and definitions
  5. Context of the organization
  6. Leadership
  7. Planning
  8. Support
  9. Operation
  10. Performance evaluation
  11. Improvement
En el Anexo A se siguen listando los controles pero el Anexo B y C ya no existen.

Las partes interesadas

La enorme importancia de las partes interesadas, que pueden incluir los accionistas, autoridades (incluidos los requisitos legales y reglamentarios), clientes, socios, etc, se reconoce en la nueva norma ISO 27001. Hay una cláusula independiente que especifica que todas las partes interesadas deben estar en la lista, junto con todos sus requerimientos.

Información documentada

Los conceptos de "documentos" y "registros" se combinaron, de modo que ahora se denomina "información documentada". En consecuencia, todas las normas que se requieren para el control de la documentación son validos para los documentos y los registros.

El requisito establecido en el antiguo estándar para los procedimientos documentados (control de documentos, auditoría interna, acciones correctivas, acciones preventivas) se ha ido, no obstante, la necesidad de documentar los resultados de esos procesos se mantiene en la nueva norma. Por lo tanto, no es necesario escribir esos procedimientos, pero hay que mantener todos los registros en la gestión de documentos, la realización de auditorías internas, y la ejecución de acciones correctivas.

Además, la cláusula de la norma anterior donde se enumeran todos los documentos necesarios (4.3.1) se ha ido y ya no existe una lista central de documentos requeridos.

Evaluación y tratamiento de riesgos

Los activos, vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos. Sólo se los requiere para identificar los riesgos asociados con la Confidencialidad, Integridad y Disponibilidad. Aunque esto puede parecer un cambio demasiado radical, los autores de la nueva norma querían permitir una mayor libertad en la forma en que se identifican los riesgos, sin embargo, asumo que la metodología de activos-vulnerabilidad-amenazas se mantendrá como una buena práctica por mucho tiempo.

El concepto de la determinación del nivel de riesgo en base a consecuencias y probabilidad sigue siendo el mismo.

Además, la metodología de evaluación del riesgo no necesita ser documentada, aunque el proceso de evaluación de riesgos deben ser definidos de antemano, el concepto de propietario de los activos se ha ido. Además nace un nuevo término: "el dueño de riesgo" (risk owners), por lo que el nivel de responsabilidad es empujado hacia arriba, a un nivel más alto.

Objetivos, seguimiento y medición

Aquí hay varios cambios y ahora existen cláusulas separadas con reglas muy concretas. Las reglas son que es necesario establecer objetivos claros, es necesario definir quién los mida y cuándo, y hay que definir quién debe analizar y evaluar los resultados. También es necesario desarrollar cómo serán alcanzados objetivos.

Esto es definitivamente algo que acercará el SGSI a otros procesos de gestión de la empresa. Esperemos que esto ayude a empujar seguridad de la información hacia la agenda de la gestión porque, una vez que se tienen cifras claras, no se puede dar vuelta la cabeza y alejarse del problema.


Fuente: ISO 27001 Standard

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!