ISO/IEC 27001:2013 Sistema de gestión de seguridad de la información (SGSI)
ISO/IEC 27001:2013 especifica los requerimientos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) para cualquier organización.
ISO/IEC 27001:2013 es la primera revisión de ISO/IEC 27001ya que la anterior revisión era 2015 y ha tenido dos grandes bases para su revisión:
- Estructura de Alto nivel Anexo SL. Todos los estándares ISO de sistemas de gestión tendrán los mismos requerimientos, permitiendo una perfecta integración de sistemas de gestión como ISO 9001 (calidad), ISO 14001 (Medio ambiente) ISO 22301 (continuidad del negocio) etc…
Podéis profundizar más en que consiste: Estructura de Alto nivel Anexo SL
- Principios y guías dados por ISO 31000 (gestión de riesgos). Permitiendo aplicar en un sistema integrado de gestión de diferentes estándares la misma metodología de riesgos.
Podéis profundizar más en que consiste: ISO 31000 (gestión de riesgos).
El resultado es que estructuralmente ISO/IEC 27001:2013 luce muy diferente a ISO/IEC 27001:2005. Además, no hay requerimientos duplicados y están expresados de una manera que permite mayor libertad de elección sobre cómo implementarlos.
Un buen ejemplo de esto es que la identificación de activos, amenazas y vulnerabilidades no es más larga que un pre requisito para la identificación de riesgos para la seguridad de la información. El estándar ahora es más claro en cuanto a que los controles no deben de ser seleccionados del Anexo A, pero son determinados a través del proceso de tratamiento de riesgos. Sin embargo, el Anexo A continúa sirviendo como una verificación para asegurar que no existen controles necesarios que se hayan pasado por alto.
Se han introducido nuevos conceptos o modificados:
Concepto nuevo/actualizado |
Razonamiento |
Contexto de la organización | El ambiente en el que la organización opera |
Problemas, riesgos y oportunidades | Reemplaza acciones preventivas |
Partes interesadas | Reemplaza accionistas (stakeholders) |
Liderazgo | Requerimientos específicos para la alta dirección |
Comunicación | Hay requerimientos específicos tanto para comunicaciones internas comoexternas |
Objetivos de seguridad de la información | Los objetivos de seguridad de la información ahora se establecen como funciones relevantes y niveles |
Evaluación de riesgos | La identificación de activos, amenazas y vulnerabilidades ya no es un pre requisito para la identificación de riesgos de seguridad de la información |
Propietario de riesgo | Reemplaza propietario de los activos |
Plan de tratamiento de riesgos | La efectividad del plan de tratamiento de riesgos es ahora considerado como más importante que la efectividad de los controles |
Controles | Los controles ahora son determinados durante el proceso de tratamiento de riesgos, en lugar de ser seleccionados del Anexo A |
Información documentada | Reemplaza documentos y registros |
Evaluación del desempeño | Cubre las mediciones del SGSI y de la efectividad del plan de tratamiento de riesgos |
Mejora continua | Se pueden utilizar metodologías distintas a Planear-Hacer-Verificar-Actuar
(PDCA por sus siglas en inglés) |
Resumen de aplicación de las cláusulas
- Cláusula 0: Introducción
Esta cláusula es mucho más corta que su predecesora. En particular la sección sobre el modelo PDCA ha sido eliminada. La razón para esto es que el requerimiento es para la mejora continúa (ver Cláusula 10) y el PDCA es solo una propuesta para cumplir con este requerimiento. Hay otras propuestas y las organizaciones son ahora libres de utilizarlas si así lo desean.
La introducción también hace énfasis en el orden en el cual serán presentados los requerimientos, estableciendo que el orden no refleja la importancia o implica el orden en el cual serán implementados.
- Cláusula 1: Alcance
Esta también es una cláusula mucho más corta. En particular no hay referencia a la exclusión de controles en el Anexo A.
- Cláusula 2: Referencias normativas
La única referencia normativa es ISO/IEC 27000, Tecnología de información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Resumen y vocabulario.
- Cláusula 3: Términos y definiciones
No hay ningún término o definición en ISO/IEC 27001:2013. En su lugar, los lectores son referidos a ISO/IEC 27000. Sin embargo, por favor asegúrese de que está utilizando una versión de ISO/IEC 27000 que haya sido publicada posterior a ISO/IEC 27001:2013, de otra manera esta no contendrá los términos y condiciones correctos. Este es un documento importante para leer. Muchas definiciones, por ejemplo ‘sistema de gestión’ y ‘control’ han sido cambiados y ahora conforman las definiciones dadas en las nuevas directrices de ISO e ISO 31000. Si un término no está definido en ISO/IEC 27000, por favor utilice la definición dada en el Diccionario Inglés Oxford. Esto es importante, de otra manera puede resultar en confusión y malos entendidos.
- Cláusula 4: Contexto de la organización
Esta es una nueva cláusula que en parte direcciona el concepto depreciado de acciones preventivas y en parte establece el contexto para el SGSI. Cumple con estos objetivos al reunir asuntos relevantes internos y externos (por ejemplo, aquellos que afectan la habilidad de la organización para lograr los resultados esperados del SGSI) con los requisitos de las partes interesada para determinar el alcance del SGSI.
Deberá notar que el término ‘asunto’ cubre no solo problemas, que pueden haber sido el tema de una acción preventiva en el estándar previo, sino también temas importantes para direccionar el SGSI, como cualquier garantía del mercado y las metas del gobierno corporativo que la organización establezca para su SGSI. Mayor orientación se da en la Cláusula 5.3 de ISO 31000:2009.
Note que el término ‘requerimiento’ es una ‘necesidad o expectativa establecida, generalmente implícita u obligatoria’.
Combinada con la Cláusula 4.2, esto en si mismo puede ser pensado como un requisito del gobierno, en sentido estricto como un SGSI que no se ajusta a las expectativas públicas generalmente aceptadas y que ahora podría ser gobernado no conforme al estándar.
El requerimiento final (Cláusula 4.4) es establecer, implementar, mantener y mejorar continuamente el SGSI de acuerdo con los requerimientos del estándar.
- Cláusula 5: Liderazgo
Esta cláusula pone los requerimientos a la ‘alta dirección’ que es la persona o grupo de personas que dirigen y controlan la organización al más alto nivel. Tenga en cuenta que si la organización que es tema del SGSI es parte de un corporativo, entonces el término ‘alta dirección’ se refiere a la organización pequeña. El propósito de este requerimiento es demostrar el liderazgo y compromiso liderando desde la dirección.
Una responsabilidad particular de la alta dirección es establecer la política de seguridad de la información, y el estándar define las características y propiedades que la política debe incluir.
Finalmente, la cláusula establece requerimientos en la alta dirección para asignar responsabilidades y autoridades relevantes a la seguridad de la información, destacando dos roles en particular concernientes a la conformidad del SGSI con ISO/IEC 27001 y reportando el desempeño del SGSI.
- Cláusula 6: Planeación
Cláusula 6.1.1, General: Esta cláusula trabaja con las Cláusulas 4.1 y 4.2 para completar la nueva forma de trabajar con las acciones preventivas. La primera parte de la cláusula (por ejemplo, hasta e incluyendo 6.1.1 c)) concierne a evaluación de riesgos, mientras que la cláusula 6.1.1. d) concierne a tratamiento de riesgos.
Cláusula 6.1.2, Evaluación de riesgos de la seguridad de información: Esta cláusula específicamente concierne a la evaluación de riesgos de la seguridad de información. En alineación con los principios y guías dadas en ISO 31000, esta cláusula quita la identificación de activos, amenazas y vulnerabilidades como pre requisito de identificación de riesgos.
Esto amplía la elección de métodos de evaluación de riesgos que una organización puede usar y que aún conforman el estándar. La cláusula también ser refiere a los ‘criterios de aceptación de la evaluación de riesgos’, que permite otros criterios además de un solo nivel de riesgos. Los criterios de aceptación de riesgos pueden ser expresados ahora en términos de otros niveles, por ejemplo, los tipos de control utilizados para el tratamiento de riesgos.
La cláusula se refiere a los ‘propietarios del riesgo’ más que a los ‘propietarios de los activos’ y posteriormente (en la Cláusula 6.1.3 f)) requiere la aprobación del plan de tratamiento de riesgos y riesgos residuales.
En otros aspectos la cláusula se parece mucho a su contraparte en ISO/IEC 27001:2005 al requerir a las organizaciones evaluar las consecuencias, probabilidades y niveles de riesgo.
Cláusula 6.1.3,
Tratamiento de riesgos de seguridad de la información: Esta cláusula concierne al tratamiento del riesgo de la seguridad de la información. Es similar a su contraparte en ISO/IEC 27001:2005, sin embargo, se refiere a la ‘determinación’ de controles necesarios más que a la selección de controles del Anexo A. Sin embargo, el estándar mantiene el uso del Anexo A como una verificación para asegurar que un control necesario no se ha pasado por alto y las organizaciones son todavía requeridas para producir un Enunciado de Aplicabilidad (SOA por sus siglas en inglés). La formulación y aprobación del plan de tratamiento de riesgos es ahora parte de esta cláusula.
Cláusula 6.2, Objetivos de la seguridad de la información y planeación para lograrlos: Esta cláusula concierne a los objetivos de seguridad de la información. Se utiliza la frase ‘funciones y niveles relevantes’, aquí el término ‘función’ se refiere a las funciones de la organización y el término ‘nivel’, a sus niveles de gestión, en el que ‘alta dirección’ es el mayor.
La cláusula define las propiedades que los objetivos de seguridad de la información de la organización deben poseer.
- Cláusula 7: Soporte
Esta cláusula inicia con un requerimiento que las organizaciones deben determinar y proveer los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el SGSI. Expresado de forma simple, este es un requerimiento muy poderoso que cubre todas las necesidades de recursos de un SGSI.
La cláusula continua con los requerimientos para competencia, conocimiento y comunicación, que son similares a sus contrapartes en ISO/IEC 27001:2005.
Finalmente, existen requerimientos para ‘información documentada’. La ‘información documentada’ es un término nuevo que reemplaza las referencias en el estándar 2005 de ‘documentos’ y ‘registros’. Estos requerimientos están relacionados con la creación y actualización de información documentada y su control. Los requerimientos son similares a sus contrapartes en ISO/IEC 27001:2005 para el control de documentos y para el control de registros.
Pueden revisar: Información documentada ISO/IEC 27001:2013.
Tenga en cuenta que los requerimientos para la información documentada están presentes en la cláusula a la que se refieren. No se encuentran resumidos en una cláusula para ellos mismos, como lo estaban en ISO/IEC 27001:2005.
- Cláusula 8: Operación
Esta cláusula trata sobre la ejecución de los planes y procesos que son tema en las cláusulas anteriores.
Cláusula 8.1 trata sobre la ejecución de acciones determinadas en la Cláusula 6.1, el logro de los objetivos de seguridad de la información y los procesos sub contratados;
Cláusula 8.2 trata sobre el desempeño de las evaluaciones de riesgo de la seguridad de la información en intervalos planeados, o cuando los cambios significativos son propuestos u ocurren; y
Cláusula 8.3 trata sobre la implementación del plan de tratamiento de riesgos.
- Cláusula 9: Evaluación del desempeño
Cláusula 9.1, Monitoreo, medición, análisis y evaluación: El primer párrafo de la Cláusula 9.1 establece los objetivos generales de la cláusula. Como recomendación general, determine qué información necesita para evaluar el desempeño de la seguridad de información y la efectividad de su SGSI. Trabajar hacia atrás desde esta ‘necesidad de información’ para determinar qué medir y controlar, cuándo, a quién y cómo. No tiene mucho sentido el monitorear y hacer mediciones sólo porque su organización tiene la capacidad de hacerlas. El seguimiento y la medición por si apoyan el requisito de evaluar el desempeño de seguridad de la información ya la eficacia del SGSI.
Tenga en cuenta que una organización puede tener muchas necesidades de información, y estas necesidades pueden cambiar con el tiempo. Por ejemplo, cuando un SGSI es relativamente nuevo, puede ser importante solo el monitoreo para supervisar la asistencia a, por así decir, los eventos de concientización de seguridad de la información. Una vez que la tasa prevista se logra, la organización debe ver más hacia la calidad de un evento de conocimiento. Se debe hacer esto estableciendo objetivos de conocimiento específicos y determinando el grado en que los asistentes han entendido lo aprendido. Más tarde, la información necesita extenderse para determinar que impacto tiene este nivel de conocimiento en la seguridad de la información de la organización.
Cláusula 9.2, Auditoría interna: Esta cláusula es similar a su contraparte en ISO/IEC 27001:2005. Sin embargo, el requerimiento tiene gestión responsable para asegurar que las acciones de auditoría que se tomen sin demora indebida se han eliminado, ya que están efectivamente cubiertas por los requerimientos de la Cláusula 10.1 (en particular 10.1 a),c) y d)).
El requerimiento que los auditores no deben auditar su propio trabajo ha sido también eliminado, ya que está cubierto por el requerimiento de asegurar la objetividad e imparcialidad (Cláusula 9.2 e)).
Cláusula 9.3, Revisión de la gestión: Más que especificar entradas y salidas específicas, esta cláusula ahora ubica los requerimientos sobre los temas para consideración durante la revisión. El requerimiento para revisiones que tendrán lugar a intervalos determinados permanece, pero el requerimiento para mantener las revisiones por lo menos una vez al año ha sido eliminado.
- Cláusula 10: Mejora
Debido a la nueva forma de manejar las acciones preventivas, no hay requerimientos para las acciones preventivas en esta cláusula. Sin embargo, hay algunos requerimientos para las nuevas acciones correctivas. La primera es reaccionar ante las no conformidades y tomar acción, como aplica, para controlar y corregir las no conformidades y trabajar con las consecuencias. La segunda es determinar donde existen no conformidades similares, o donde pueden ocurrir potencialmente. Aunque el concepto de acciones preventivas ha evolucionado aún hay una necesidad de considerar las no conformidades potenciales, aunque como una consecuencia de una no conformidad actual.
También existe un nuevo requerimiento para asegurar que las acciones correctivas son apropiadas a los efectos de las no conformidades encontradas.
El requerimiento para la mejora continua se ha extendido para cubrir la idoneidad y suficiencia de un SGSI así como su efectividad, pero ya no especifica cómo una organización puede lograr esto.
- Anexo A
El título del Anexo A es ahora “objetivos de control de referencia y controles” y la introducción es simplificada. Establece que los objetivos de control y los controles derivan directamente de ISO/IEC 27002:2013 y que el Anexo es utilizado en el contexto de la Cláusula 6.1.3.
Durante la revisión de ISO/IEC 27002 el número de controles ha sido reducido de 133 controles a 114 controles, y el número de cláusulas mayores ha sido expandido de 11 a 14.
Algunos controles son idénticos o muy similares; algunos se han fusionado; algunos han sido eliminados y otros son nuevos. Por ejemplo:
- A.5.1.1, las políticas para la seguridad de la información son muy similares a las originales A.5.1.1, Documento de Políticas de Seguridad de la información.
- El anterior A.10.10.1, Registro de Auditoría, A.10.10.2, Monitoreo del uso del sistema, y A.10.10.5, Registro de fallas, han sido fusionados para formar el nuevo A.12.4.1, Registro de eventos.
- El anterior A.11.6.2, Aislamiento del sistema sensible, ha sido eliminado debido a que en un mundo interconectado, este control interfiere con el objetivo de ser interconectado.
- A.17.2.1, Disponibilidad de instalaciones de procesamiento de información, es un nuevo control.
Es importante apreciar que la utilidad de un control para una organización no debe cambiar por haber sido este eliminado del Anexo A. De acuerdo con la Cláusula 6.1.3, los controles ahora son determinados con las bases del tratamiento de riesgos. Si una organización desea tratar riesgos particulares deliberadamente sin conectar una computadora a Internet u otras redes, entonces tendrá que utilizar un control como el anterior A.11.6.2 independientemente de si se encuentra en el
Anexo A o no.El Anexo A permanece como un ‘anexo normativo’. Esto no es porque el Anexo A contenga requerimientos normativos, sino porque, por las normas ISO, se hace referencia a un requisito normativo, por ejemplo en este caso, las Cláusulas 6.1.3 c) y d).
- Otros anexos
El Anexo original B, los principios OECD y este estándar internacional, han sido eliminados ya que ahora son una referencia antigua, que refiere al PDCA.
El antiguo Anexo C, Correspondencia entre ISO 9001, ISO 14001 y este estándar internacional, también han sido eliminados porque ambos estándares han sido revisados y utilizarán la misma estructura de alto nivel e idéntico texto principal al de ISO/IEC 27001:2013.
El Anexo B, Bibliografía, de ISO/IEC 27001:2013 es una versión actualizada de su contraparte, el Anexo D en ISO/IEC 27001:2005.
Contáis con un desarrollo especifico del sector seguridad de la información vinculada a los sistemas de gestión. Seguridad de la Información
Puntúe el artículo