Cuando
se cumplen ahora 20 años del origen de la norma ISO 27001 (antes BS
7799), la nueva versión de 2013 ha llegado al estado de borrador final.
¿Qué quiere decir esto?
El estado de borrador final (FDIS, Final Draft International Standard) implica que las nuevas versiones de la norma ISO / IEC 27001 y 27002 serán publicadas a finales de este año como estándar internacional. La versión actual se completó a principios de septiembre, y después de las modificaciones realizadas, está listo para su lanzamiento el próximo mes de octubre. El período de revisión al que estaban expuestos los borradores de las normas internacionales finalizó el pasado 23 de marzo de 2013. Los comentarios fueron analizados y los capítulos nacionales votaron a favor del avance de las nuevas normas para su publicación.
¿Qué ha cambiado en la 27001?
El cambio más llamativo en esta nueva versión es la disposición de la misma. Ya no hay requisitos duplicados y el texto es menos prescriptivo, dando más libertad a las empresas en el momento de aplicar los requisitos para adaptarse a los mismos. La siguiente figura muestra la relación entre la versión de la norma del 2005 y el actual FDIS.
¿Cuáles son los principales beneficios de la nueva edición?
La norma se ha actualizado teniendo en cuenta las experiencias de los usuarios que han implementado o se han certificado empleando la ISO 27001:2005, con la intención de proporcionar un enfoque racionalizado y más flexible que debería conducir a una gestión eficaz del riesgo.
También se han realizado una serie de mejoras en los controles de seguridad para asegurar que la norma sigue siendo actual y es capaz de hacer frente a los riesgos de hoy, como el robo de identidad, los riesgos relacionados con los dispositivos móviles y otras vulnerabilidades on-line.
Por último, se ha modificado la nueva norma ISO 27001:2013 para que se adapte a la nueva estructura de alto nivel utilizada en todas las normas de sistemas de gestión, por lo que su integración con otros sistemas de gestión es más sencilla y de esta forma se ayuda a las organizaciones que deseen implementar más de un sistema de gestión a la vez. La similitud en la estructura entre las normas ahorrará a las organizaciones tiempo y dinero, ya que pueden adoptar políticas e integrar procedimientos. Por ejemplo, una organización puede querer integrar su sistema de gestión de seguridad de la información (ISO/IEC 27001:2013) con otros sistemas de gestión, tales como la gestión de continuidad del negocio (ISO 22301), la gestión de servicios TI (ISO/IEC 20000) o la gestión de la calidad (ISO 9001).
¿Qué ha cambiado en la 27002?
En la actualidad existen sólo 114 controles en contraposición con los 133 de la versión original. Además, los controles se enumeran en catorce capítulos en lugar de los once originales. Muchos controles no han cambiado desde la versión de 2005, aunque el texto sí se ha actualizado. Algunos controles se han eliminado ya que no se siguen considerando válidos. Otros se han fusionado, ya que representaban lo mismo explicado de diferentes maneras. También se han añadido once controles nuevos, a saber:
Seguidamente también se muestra la nueva disposición de los catorce dominios de control que han quedado en la norma de 2013 sin contar con los introductorios:
Como se puede observar ahora la criptografía tiene su propio apartado (10) e igualmente las relaciones con los proveedores (15). Communications and operations management se ha dividido en dos dominios (12 y 13). El dominio sobre la gestión y el tratamiento del riesgo se ha eliminado.
Estoy certificado con la norma ISO 27001:2005 ¿qué significará esta revisión para mí?
Las organizaciones certificadas con la edición de 2005 de la norma tendrán que actualizar su sistema de gestión de seguridad de la información para cumplir con los requisitos de la nueva versión de la norma. El período de transición para la actualización aún no se ha decidido, pero es probable que sea de dos años desde que se publique la nueva edición.
¿Cuánto esfuerzo se necesita para pasar de la versión antigua a la nueva versión?
La actualización a la nueva edición de la norma ISO 27001:2013 no debería resultar especialmente problemática. El período de transición ayuda, ya que el esfuerzo requerido puede ser parte del programa de trabajo organizado e integrado en las actividades de mejora continua y auditorías de seguimiento planificadas.
¿Qué quiere decir esto?
El estado de borrador final (FDIS, Final Draft International Standard) implica que las nuevas versiones de la norma ISO / IEC 27001 y 27002 serán publicadas a finales de este año como estándar internacional. La versión actual se completó a principios de septiembre, y después de las modificaciones realizadas, está listo para su lanzamiento el próximo mes de octubre. El período de revisión al que estaban expuestos los borradores de las normas internacionales finalizó el pasado 23 de marzo de 2013. Los comentarios fueron analizados y los capítulos nacionales votaron a favor del avance de las nuevas normas para su publicación.
¿Qué ha cambiado en la 27001?
El cambio más llamativo en esta nueva versión es la disposición de la misma. Ya no hay requisitos duplicados y el texto es menos prescriptivo, dando más libertad a las empresas en el momento de aplicar los requisitos para adaptarse a los mismos. La siguiente figura muestra la relación entre la versión de la norma del 2005 y el actual FDIS.
¿Cuáles son los principales beneficios de la nueva edición?
La norma se ha actualizado teniendo en cuenta las experiencias de los usuarios que han implementado o se han certificado empleando la ISO 27001:2005, con la intención de proporcionar un enfoque racionalizado y más flexible que debería conducir a una gestión eficaz del riesgo.
También se han realizado una serie de mejoras en los controles de seguridad para asegurar que la norma sigue siendo actual y es capaz de hacer frente a los riesgos de hoy, como el robo de identidad, los riesgos relacionados con los dispositivos móviles y otras vulnerabilidades on-line.
Por último, se ha modificado la nueva norma ISO 27001:2013 para que se adapte a la nueva estructura de alto nivel utilizada en todas las normas de sistemas de gestión, por lo que su integración con otros sistemas de gestión es más sencilla y de esta forma se ayuda a las organizaciones que deseen implementar más de un sistema de gestión a la vez. La similitud en la estructura entre las normas ahorrará a las organizaciones tiempo y dinero, ya que pueden adoptar políticas e integrar procedimientos. Por ejemplo, una organización puede querer integrar su sistema de gestión de seguridad de la información (ISO/IEC 27001:2013) con otros sistemas de gestión, tales como la gestión de continuidad del negocio (ISO 22301), la gestión de servicios TI (ISO/IEC 20000) o la gestión de la calidad (ISO 9001).
¿Qué ha cambiado en la 27002?
En la actualidad existen sólo 114 controles en contraposición con los 133 de la versión original. Además, los controles se enumeran en catorce capítulos en lugar de los once originales. Muchos controles no han cambiado desde la versión de 2005, aunque el texto sí se ha actualizado. Algunos controles se han eliminado ya que no se siguen considerando válidos. Otros se han fusionado, ya que representaban lo mismo explicado de diferentes maneras. También se han añadido once controles nuevos, a saber:
- A.6.1.5 Information Security in Project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 Secure system engineering priciples
- A.14.2.6 Secure development enviroment
- A.14.2.8 System security testing
- A.15.1.1 Information and comunication technology supply chain
- A.16.1.4 Assessment of and decisión on information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 Secure system engineering priciples
- A.14.2.6 Secure development enviroment
- A.14.2.8 System security testing
- A.15.1.1 Information and comunication technology supply chain
- A.16.1.4 Assessment of and decisión on information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
Seguidamente también se muestra la nueva disposición de los catorce dominios de control que han quedado en la norma de 2013 sin contar con los introductorios:
- 5 Security Policies
- 6 Organization of information security
- 7 Human resource security
- 8 Asset management
- 9 Access control
- 10 Cryptography
- 11 Physical and environmental security
- 12 Operations security
- 13 Communications security
- 14 System acquisition, development and maintenance
- 15 Supplier relationships
- 16 Information security incident management
- 17 Information security aspects of business continuity
- 18 Compliance
- 6 Organization of information security
- 7 Human resource security
- 8 Asset management
- 9 Access control
- 10 Cryptography
- 11 Physical and environmental security
- 12 Operations security
- 13 Communications security
- 14 System acquisition, development and maintenance
- 15 Supplier relationships
- 16 Information security incident management
- 17 Information security aspects of business continuity
- 18 Compliance
Como se puede observar ahora la criptografía tiene su propio apartado (10) e igualmente las relaciones con los proveedores (15). Communications and operations management se ha dividido en dos dominios (12 y 13). El dominio sobre la gestión y el tratamiento del riesgo se ha eliminado.
Estoy certificado con la norma ISO 27001:2005 ¿qué significará esta revisión para mí?
Las organizaciones certificadas con la edición de 2005 de la norma tendrán que actualizar su sistema de gestión de seguridad de la información para cumplir con los requisitos de la nueva versión de la norma. El período de transición para la actualización aún no se ha decidido, pero es probable que sea de dos años desde que se publique la nueva edición.
¿Cuánto esfuerzo se necesita para pasar de la versión antigua a la nueva versión?
La actualización a la nueva edición de la norma ISO 27001:2013 no debería resultar especialmente problemática. El período de transición ayuda, ya que el esfuerzo requerido puede ser parte del programa de trabajo organizado e integrado en las actividades de mejora continua y auditorías de seguimiento planificadas.
