ISO 27001

La definición de procedimientos y controles es uno de los factores fundamentales a la hora de establecer un SGSI, podemos decir que los pilares básicos sobre los que se apoya la norma ISO 27001 son:

• Establecimiento de una política, un alcance y unos objetivos para la seguridad de la información.
• Elaboración de un análisis de riesgos proporcionado a la naturaleza y valoración de los activos y de los riesgos a los que los activos están expuestos.
• Selección de los controles adecuados, de acuerdo con los objetivos que se pretenden obtener con los mismos, justificando la selección.
• Seguimiento y revisión de la eficiencia del SGSI.
• Mejora continua.

 

Más información sobre los procedimientos de la ISO 27001.

Etapa 1: Implantación del SGSI

En esta fase la empresa debe centrarse en el desarrollo e implementación de un plan efectivo a medio y largo plazo, que evite o atenúe los posibles riesgos para la seguridad de la información. Se iniciará también la formación e información del personal de la empresa, de forma que se garantice la correcta implementación del SGSI. Suele ser habitual el apoyo de una consultora.

Etapa 2: Certificación de la Norma ISO 27001:2007

Cuando la empresa considera que su implantación esta lista para pasar la auditoria, la entidad de certificación, como es EQA, verifica que la empresa cumple con todos los requisitos de la norma ISO 27001:2007.

Un auditor de EQA, experto en el sector de la empresa, revisa el funcionamiento de la empresa. En caso de que el auditor observe diferencias, estas deberán ser corregidas por la empresa antes de que la entidad de certificación pueda emitir el certificado.

Los sistemas de gestión, una vez certificados, deben pasar una revisión anual y someterse a una auditoria de renovación al tercer año.

Más información sobre las fases de implantación de la ISO 27001.

Resumen de EQA sobre la revisión del estándar ISO/IEC 27001:2013, que pretende comunicar de modo ágil, directo y sencillo los principales requisitos y modificaciones establecidos en la nueva publicación.

Documentos adicionales más detallados sobre los cambios establecidos en cada cláusula, junto con la relación entre versiones que faciliten las labores de adaptación, están a disposición de todas las organizaciones actualmente certificadas por EQA, además de a todos aquellos interesados en la labor que EQA viene prestando en materia de seguridad de la información desde hace años y las que nos ponemos a su disposición.

En las siguientes 10 cláusulas que atienden a la nueva versión publicada de 2013 se presenta un resumen rápido de los 32 nuevos requisitos de la nueva versión. Adicionalmente, hay que destacar diversas modificaciones en el modo de redactar los requisitos en la nueva versión, con el objetivo de aclarar su propósito y fundamentos y que merecen una lectura detallada de los contenidos del estándar.

La publicación ISO/IEC 27001:2013 atiende al nuevo esquema definido por ISO para los sistemas de gestión acorde al formato denominado “Annex SL” de 10 cláusulas, ya aplicado inicialmente en estándares como ISO/IEC 22301 y que será de próxima aplicación a revisiones de estándares relevantes como ISO/IEC 9001:2015, ISO/IEC 14001:2015, entre otros.

Este marco común procede de la Guía 83 de ISO y mejora sustancialmente la capacidad de integración de varios sistemas de gestión independientemente de los estándares de referencia. Las típicas tablas localizadas en los anexos de las normas (p.ej. Anexo C de ISO/IEC 27001:2005) quedan eliminadas al aplicar equivalencias directas en las cláusulas.

0 – INTRODUCCIÓN

Se mantienen los fundamentos en ambas versiones, es decir, la preservación de la Confidencialidad, Integridad y Disponibilidad de la información crítica mediante un proceso adecuado de gestión del riesgo.

Otra de las novedades más destacadas, es la posibilidad de alcanzar la mejora continua mediante implantaciones de un SGSI no necesariamente basadas en el «enfoque a procesos» representado por el diagrama con el modelo «PDCA», también denominado “ciclo Deming”.

1 – OBJETO Y CAMPO DE APLICACIÓN

La publicación ISO/IEC 27001:2013 atiende al nuevo esquema definido por ISO para los sistemas de gestión acorde al formato denominado “Annex SL” de 10 cláusulas, ya aplicado inicialmente en estándares como ISO/IEC 22301 y que será de próxima aplicación a revisiones de estándares relevantes como ISO/IEC 9001:2015, ISO/IEC 14001:2015, entre otros.

2 – REFERENCIAS NORMATIVAS

Se elimina en la nueva versión de 2013 la referencia a ISO/IEC 27002 de modo que, aunque las buenas prácticas recopiladas en el estándar ISO/IEC 27002 siguen siendo una ayuda práctica y directa para localizar y determinar controles de seguridad válidos en la gestión de los riesgos, este estándar puede ser complementado o incluso sustituido por otras referencias (regionales, sectoriales, regulatorios o reglamentarios) más útiles según la necesidad particular.

3 – TÉRMINOS Y DEFINICIONES

Se han eliminado de esta sección todas las definiciones de la versión 2005 y se han reubicado en el estándar ISO/IEC 27000 con el objetivo de consolidar la validez e interpretación de los mismos términos y definiciones en todas las publicaciones de la serie 27000.

4 – CONTEXTO DE LA ORGANIZACIÓN

La organización debe determinar cuestiones externas e internas que son relevantes para sus propósitos y que afectan a su capacidad para lograr el/los resultado/s deseado/s de su sistema de gestión de seguridad de la información.

4.1 – Conocimiento de la organización y su contexto

La organización debe determinar cuestiones externas e internas que son relevantes para sus propósitos y que afectan a su capacidad para lograr el/los resultado/s deseado/s de su sistema de gestión de seguridad de la información.

Se debe revisar la definición del alcance actual, especialmente en su relación con entidades externas al mismo como novedad. Se trata de mejorar y desarrollar una capacidad de análisis de mayor grado con carácter preventivo.

Relaciones: Cláusula ISO/IEC 27001:2005: 8.3.

4.2 – Conocimiento de las necesidades y expectativas de las partes interesadas

1. a) La organización debe determinar las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información.

Se debe revisar la definición del alcance actual, especialmente en su relación con entidades externas al mismo como novedad. Se trata de mejorar y desarrollar una capacidad de análisis de mayor grado con carácter preventivo.

Relaciones: Cláusula ISO/IEC 27001:2005: 5.2.1 c), 7.2 b), 4.2.3 b), 4.2.4 d).

4.3 – Determinar el alcance del SGSI

Cuando se determina el alcance la organización debe considerar: a) cuestiones externas e internas referenciadas en 4.1; c) interrelaciones y dependencias entre las actividades desarrolladas por la organización y aquellas que son desarrolladas por otras organizaciones.

Se debe revisar la definición del alcance actual, especialmente en su relación con entidades externas al mismo como novedad. Se trata de mejorar y desarrollar una capacidad de análisis de mayor grado con carácter preventivo. A diferencia del alcance de certificación, la redefinición de los requisitos para el alcance en la nueva versión es una excelente oportunidad para indicar de forma más clara y específica todos los aspectos relevantes en el ámbito de la gestión de la seguridad.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.1 a), 4.2.3 f).

4.4 – Sistema de Gestión de Seguridad de la Información

Sin novedades fundamentales, las consideraciones al ciclo PDCA de la versión de 2005 localizadas Plan: 4.2.1 – Do: 4.2.2 – Check: 4.2.3 – Act: 4.2.4 se trasladan en la nueva versión a Plan: 5, 6, 7 – Do: 8 – Check: 9 – Act: 10.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.1.

5 – LIDERAZGO

Sin novedades fundamentales, las consideraciones al ciclo PDCA de la versión de 2005 localizadas Plan: 4.2.1 – Do: 4.2.2 – Check: 4.2.3 – Act: 4.2.4 se trasladan en la nueva versión a Plan: 5, 6, 7 – Do: 8 – Check: 9 – Act: 10.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.1.

5.1 – Liderazgo y compromiso

La alta dirección debe demostrar su liderazgo y compromiso con respecto al sistema de gestión de seguridad de la información a través de:

1. b) garantizar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización.
2. d) comunicar la importancia de una gestión eficaz de seguridad de la información y de adaptarse a los requisitos del sistema de gestión de seguridad de la información.

Se requiere que la alta dirección, además de gestionar (versión 2005), lidere la integración real de los requisitos del SGSI en los procesos de la organización como novedad. El cambio del rol de “gestor” a “líder” indica un mayor compromiso en las actividades relevantes y el papel de la alta dirección en propagar el ámbito de la seguridad a todo el personal del alcance para el logro de las metas y objetivos.

Relaciones: Cláusula ISO/IEC 27001:2005: 5.1.

5.2 – Política

Sin novedades fundamentales, la nueva versión del estándar no diferencia más entre «Política del SGSI» y la «Política de Seguridad de la Información». Sólo se considera una «política de seguridad de la información» (que puede ser documentada bajo la denominación “Política” o en otro modo particular admitido por cada organización).

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.1 b).

5.3 – Roles, responsabilidades y atribuciones en la organización informar a la alta dirección del estado de la seguridad

Sin cambios fundamentales, se incide en la necesidad ya recogida por la versión anterior de una definición de roles y responsabilidades y la forma de interrelación entre el personal, especialmente en los mecanismos de informar a la alta dirección del estado de la seguridad.

Relaciones: Cláusula ISO/IEC 27001:2005: 5.1. c).

6 – PLANIFICACIÓN

6.1 – Acciones para detectar los riesgos y oportunidades

6.1.1 – General

Sin cambios fundamentales, las acciones preventivas en el nuevo estándar desaparecen bajo esta denominación específica y forman parte ahora dentro de las acciones de identificación del riesgo y oportunidades para la mejora.

Relaciones: Cláusula ISO/IEC 27001:2005: 8.3.

1.1.2 – Análisis de riesgos en seguridad de la información

La metodología utilizada atendiendo a la versión ISO/IEC 27001:2005 está alineada con la nueva versión de ISO/IEC 27001:2013, aunque actualmente ya no se requiere dentro del proceso de identificación del riesgo identificar todos aquellos activos de información y sus propietarios, ni las amenazas, ni las vulnerabilidades de manera específica.

Se incluye la nueva figura de “propietario del riesgo”. Sin novedades fundamentales, la nueva versión del estándar no diferencia más entre «Política del SGSI» y la «Política de Seguridad de la Información». Sólo se considera una «política de seguridad de la información» (que puede ser documentada bajo la denominación “Política” o en otro modo particular admitido por cada organización).

La alineación de ISO/IEC 27001:2013 con el estándar ISO 31000:2009 (“Gestión de Riesgos – Guías y principios”) abre por tanto posibilidades de cambios en el proceso de análisis del riesgo a otras posibilidades y metodologías más intuitivas, próximas al modo de gestión del negocio o adaptadas a las capacidades y recursos posibles para este proceso según sea el caso en cada organización.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.1 b).

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.1 c), 4.2.1 d), 4.2.1 e).

1.1.3 – Tratamiento de los riesgos de seguridad

El modo de uso del Anexo A puede ser ahora ligeramente diferente y más clara que en la versión del 2005. La determinación de controles para la reducción de los niveles en los riesgos identificados puede determinarse ahora en relación directa a ISO/IEC 27002 y/o a cualquier otra referencia documental (p.ej. NIST, Esquemas Nacionales de Seguridad, Buenas Prácticas de otras instituciones, etc.) o propia lógica de análisis de la organización.

El Anexo A pierde por tanto cierto carácter de requisito en los 114 controles que incluye, aunque se deben mantener justificaciones claras sobre las consideraciones para la aplicación o no de acciones relacionadas. Al desarrollar esta actividad de justificación se debe prestar atención a la correcta interpretación de los controles indicados, especialmente en los nuevos incluidos.

El Anexo A pierde por tanto cierto carácter de requisito en los 114 controles que incluye aunque se deben mantener justificaciones claras sobre las consideraciones para la aplicación o no de acciones relacionadas. Al desarrollar esta actividad de justificación se debe prestar atención a la correcta interpretación de los controles indicados, especialmente en los nuevos incluidos.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.1 f), 4.2.1 g), 4.2.1 h), 4.2.1 j), 4.2.2 a); 4.2.2 b).

6.2 – Objetivos en seguridad de la información y planificación para lograrlos

Se deberán reconsiderar los objetivos en seguridad de la información, especialmente aquellos con enfoques genéricos que forman habitualmente parte de la política del SGSI para aplicar un enfoque orientado a acciones y medición de resultados realmente concretos.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe determinar de forma clara qué se hará, qué recursos serán necesarios, quién será responsable, cuándo se completará, y cómo se evaluarán los resultados.

Tener en cuenta los requisitos de seguridad de la información aplicable, así como los resultados de la evaluación y tratamiento de riesgos y su orientación respecto a los objetivos es un enfoque claramente orientado a que la organización pueda confirmar la efectividad del SGSI y su correspondencia con las intenciones del negocio.

Relaciones: Cláusula ISO/IEC 27001:2005: 5.1 b).

7 – MANTENIMIENTO

7.1 – Recursos

Sin cambios fundamentales.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.2 g), 5.2.1.

7.2 – Competencias

Sin cambios fundamentales.

Relaciones: Cláusula ISO/IEC 27001:2005: 5.2.2.

7.3 – Concienciación

Se amplía el ámbito de modo que ahora todas las personas que desarrollan su trabajo bajo el control de la organización deben ser conscientes de la política de seguridad de la información.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.2 e), 5.2.2.

7.4 – Comunicación

La organización debe determinar la necesidad de las comunicaciones internas y externas pertinentes para el sistema de gestión de seguridad de la información entre las que se incluye: a) lo que debe comunicarse; b) cuando debe comunicarse; c) a quién se comunica; d) quién debe comunicarlo; e) los procesos por los que la comunicación se debe efectuar.

La organización debe determinar la necesidad de las comunicaciones internas y externas pertinentes para el sistema de gestión de seguridad de la información entre las que se incluye: a) lo que debe comunicarse; b) cuando debe comunicarse; c) a quién se comunica; d) quién debe comunicarlo; e) los procesos por los que la comunicación se debe efectuar.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.4 c), 5.1 d).

7.5 – Comunicación

Se introduce el término de ‘Información documentada’ que engloba en uno sólo la diferenciación tradicional entre «documentos» y «registros» de la versión 2005.

7.5.1 – General

Existe una diferencia importante de concepto y la eliminación de un listado determinado (anterior cláusula 4.3) donde se indican los mínimos de documentación. Se eliminan los procedimientos documentados (de auditoría interna, de control de la documentación y registros, de acciones preventivas y correctivas) como requisitos en sí mismos y se debe buscar por parte de las organizaciones aquella “información documentada” requerida por la nueva versión del estándar.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.3.

7.5.2 – General

Sin Novedades Fundamentales.

7.5.3 – Control de la información documentada

Sin Novedades Fundamentales.

8 – OPERACIÓN

Sin Novedades Fundamentales.

8.1 – Planificación operacional y control

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información, y para poner en práctica las acciones determinadas en el punto 6.1. La organización debe controlar los cambios planificados y revisar las consecuencias de cambios no deseados, adoptando medidas para mitigar los posibles efectos adversos, según sea necesario.

Se esperan posibles mejoras en los mecanismos de control que actualmente se aplican, según sea conveniente, especialmente en el aspecto de mitigación de posibles aspectos adversos asociados típicamente a una evaluación previa del riesgo y medidas de “paso atrás” a un estado inicial o previo seguro y controlado.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.2 f).

8.2 – Análisis de riesgos en seguridad de la información

Sin cambios fundamentales en la periodicidad de revisión (intervalos planificados o cuando se propongan o producen cambios significativos) y teniendo en consideración los criterios establecidos en el punto 6.1.2 a).

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.3 d).

8.3 – Tratamiento de los riesgos de seguridad

Sin Novedades Fundamentales.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.2 b), 4.2.2 c).

9 – EVALUACIÓN DEL RENDIMIENTO

9.1 – Monitorización, medición, análisis y evaluación

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de seguridad de la información de un modo más claro y definido determinando: b) los métodos de monitorización, medición, análisis y evaluación, según se apliquen, para garantizar la validez de los resultados; c) cuándo se llevarán a cabo las monitorizaciones y mediciones; d) quién monitoriza y mide; f) quién analiza y evalúa los resultados.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.2 d), 4.2.3 b), 4.2.3 c).

9.2 – Auditorías internas

Sin novedades fundamentales se remarca el aspecto de seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.3 e), 6.

9.3 – Revisión por la dirección

Se permite determinar ahora un periodo más flexible y personalizado en los intervalos de revisión por la dirección (no debe ser anual como requisito) y se añade principalmente la necesidad de revisar el cumplimiento de los objetivos de seguridad de la información en línea con otras cláusulas de la nueva versión relacionadas.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.3 f), 7.

10 – MEJORA

10.1 – No conformidades y acciones correctivas

Las novedades fundamentales están en el modo de reaccionar a las no conformidades y evitar la recurrencia en el mismo o en otros lugares. Se trata de evitar la falta de profundidad localizada en el modo de acometer los análisis de causa para las no conformidades y la consecuente deficiencia en las acciones acometidas son una de las causas principales de las novedades en esta nueva versión y para los sistemas de gestión en general.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.4, 8.2.

10.12 – Mejora continua

Sin novedades fundamentales. Los requisitos para la mejora continua y acciones correctivas (cláusulas 8.1 y 8.2 de la versión 2005) pasan a formar parte de la cláusula 10.2 y 10.1 del nuevo estándar respectivamente. Los requisitos de las acciones preventivas (cláusula 8.3) se replantean en la nueva sección 6.1.1 como parte de los requisitos generales de la evaluación del riesgo. En este sentido, los requisitos de la versión 2005 no desaparecen, sólo se mencionan de un modo distinto.

Relaciones: Cláusula ISO/IEC 27001:2005: 4.2.4, 8.1.

Más información sobre las novedades de la Norma ISO 27001.