Inicio / Protege tu empresa / Blog / Nueva versión ISO/IEC 27001:2013

Nueva versión ISO/IEC 27001:2013

Publicado el 27/09/2013, por Luis Esteban

A finales de Octubre está prevista la publicación formal de la nueva versión del conocido estándar ISO/IEC 27001. Sin embargo ya se cuenta con el borrador final sobre el que no se esperan cambios significativos. A continuación se realiza un análisis de los cambios más relevantes que presenta dicho borrador:

 

 

 

 

 

 

 

 

  1. Eliminación de la referencia al enfoque de proceso de mejora continua plan-do-check-act.
  2. Reestructuración general de capítulos y subapartados. Los capítulos están alineados con el “anexo SL” publicado por ISO/IEC con el fin de que todos los estándares de sistemas de gestión tengan la misma estructura.
  3. Mayor énfasis en el conocimiento del contexto de la organización y de las necesidades de las partes interesadas. Este conocimiento debe suponer el punto esencial de entrada para el establecimiento del Sistema de Gestión: definición del alcance, política, establecimiento de objetivos y análisis de riesgos. En este sentido, se alinea con la norma ISO 31000 de gestión del riesgos.
  4. El proceso de análisis de riesgos se define de forma más genérica. Han sido eliminadas las referencias a la identificación de activos, amenazas y vulnerabilidades. Únicamente se hace necesario identificar riesgos (sin especificar cómo) asociados a la pérdida de confidencialidad, integridad y disponibilidad, tras analizar las potenciales consecuencias y la probabilidad para, finalmente, cuantificar el riesgo. Adicionalmente se deberá identificar al propietario del riesgo.
  5. Respecto a la selección de controles de seguridad para el tratamiento del riesgo, se a decisión de las organizaciones la selección un marco de controles en caso que no se desee seguir el Anexo A/ISO 27002, aunque de cualquier modo se deberá comparar con los controles del Anexo A para comprobar que no se obvia ningún control.
  6. Se otorga un mayor énfasis al liderazgo de la Dirección en el Sistema de Gestión, no sólo desde el punto de vista de un compromiso formal, como se especificaba en la anterior versión, sino con el objetivo de evitar considerar como management a la Dirección de Tecnología o Seguridad.
  7. Otra novedad introducida es la redefinición de objetivos de seguridad relacionados con la seguridad de la información, como parte del Sistema de Gestión, otorgándole mayor relevancia frente a la anterior versión.
  8. Mayor profundización en el área de monitorización y medición del SGSI.
  9. Respecto a los requisitos documentales, se ha eliminado el listado de documentos obligatorios, aunque en el cuerpo del estándar se hace referencia a distintos requisitos documentales. Por otro lado se elimina la separación entre documentos y registros, siendo denominados simplemente “información documentada”.
  10. Sólo tiene en cuenta las medidas correctivas, excluyendo las medidas preventivas, que no son otra cosa que las acciones derivadas de la gestión del riesgo
  11. Los cambios en el anexo de controles de seguridad dan como resultado una estructura más lógica y actualizada a la realidad actual. Se pasa de 11 a 14 capítulos y el número total de controles se reduce de 133 a 114. Los aspectos relacionados con la criptografía se separan del capítulo de Desarrollo y Adquisición Software y se convierte en un capítulo independiente. Lo mismo ocurre con Relaciones con Proveedores que en este caso estaba diluido entre varios capítulos. Por otro lado el capítulo de Comunicaciones y Operaciones se divide en dos diferentes.

 

 

 

 

 

 

 

 

¿Qué implicaciones tiene para las empresas?

Las organizaciones que actualmente se encuentren certificadas en ISO/IEC 27001:2005 dispondrán de un periodo de transición estimado para adaptarse al nuevo estándar de 2 a 3 años. Los detalles del proceso de migración serán publicados al mismo tiempo que el nuevo estándar. De la misma forma, existirá un notable impacto relacionado con la actualización de controles del anexo A / ISO27002, que implicará la adecuación de las herramientas de gestión y tratamiento de riesgos.

Para aquellas organizaciones que estén implantando un SGSI y cuyo proceso de implantación se encuentre lo suficiente maduro, cumpliéndose con la mayoría de los requisitos formales y disponiéndose de los correspondientes procedimientos, se recomienda la certificación contra la versión anterior de 2005 a corto plazo e ir planificando la migración a la versión 2013, siendo posible la certificación contra la versión 2005 durante aproximadamente un año.

En caso que todavía no se hubiera empezado el proceso de implantación o se encontrase en sus primeras fases, se recomienda usar el marco de referencia 2013 y certificarse contra la misma, en la que será posible certificarse tras 6 meses aproximadamente desde su publicación.