20014 (edición enero 2014)
La tercera edición 27000-2014 incorpora los términos utilizados en los recientes cambios a la norma ISO / IEC 27001 y 27002, y ha eliminado o cambiado algunos términos desde la edición anterior; por ejemplo, “Responsabilidad”, “Activos” y “Activos de Información” que ya no están definidos, en cambio hay notas actualizadas para “Riesgo”.
Es posible que el término “activo” y “activos de información” se hayan eliminado de la tercera edición con el fin de terminar discusiones relativas con las técnicas de seguridad ISO/IEC JTC 1/SC 27 de la Tecnología de la Información.
El ” activo de información ” (como aún se utiliza , por ejemplo, en las notas a la definición de “riesgo” ) se refiere al contenido intangible de la información y, ambiguamente, al contenido tangible de los medios de almacenamiento de datos. La distinción podría ser muy importante en el contexto de diversas normas ISO27000, pero es de suponer que las organizaciones que utilizan los estándares tendrán que averiguar las respuestas por sí mismos.
La eliminación de la palabra “responsabilidad” del vocabulario, que en su momento significaba un concepto extremadamente importante y valioso, ahora no es parte de más de ISO27000. La posibilidad de que una autoridad rinda cuentas y tal vez la imposición de sanciones, es generalmente lo que obliga a las personas y organizaciones a tomar responsabilidades con mayor seriedad. Es lo que les hace aceptar e interiorizar sus obligaciones hacia los demás. Sin embargo, la definición de diccionario del término se adecua perfectamente en el contexto de seguridad de la información: no es un término especialista.
En muchas ocasiones, las notas extensas en las definiciones son un síntoma de la falta de claridad para algunas definiciones reales, en algunos casos, sugiere distintos significados o interpretaciones de los términos.
Una nota en la definición de “externalizar”, afirma categóricamente que “una organización externa está fuera del alcance del sistema de gestión, a pesar de la función subcontratada o proceso que está dentro del alcance”.
Otro de los cambios que más saltan a la vista es el de “Documentación” por “Información Documentada”.
2.23 – Información documentada. Información que debe ser controlada y mantenida por una organización (2.57) y el medio en el que está contenida.
Nota 1 a la entrada: Información documentada puede estar en cualquier formato y en cualquier medio y desde cualquier fuente.
Nota 2 a la entrada: Información documentada puede referirse a
– El sistema de gestión (2,46), incluyendo procesos relacionados (2,61);
– La información creada con el fin de la organización para operar (la documentación);
– La evidencia de los resultados obtenidos (registros).1
La normativa ISO / IEC 27001 fue completamente reescrita y re-editada en septiembre de 2013. Dichos cambios fueron mucho más allá que modificar el contenido de la edición de 2005. Se insistió en cambios sustanciales para alinear esta norma con otras normas de sistemas de gestión que cubran: las garantías de calidad, la protección del medio ambiente, etc. La idea es que los gerentes que están familiarizados con cualquiera de los sistemas de gestión ISO comprendan los principios básicos que sustentan un SGSI (Sistema de Gestión de Seguridad de la Información). Conceptos tales como la certificación, la política, la no conformidad, el control de documentos, auditorías internas y revisiones por la dirección son comunes a todas las normas de sistemas de gestión, y de hecho los procesos pueden, en gran medida, ser estandarizados dentro de la organización.2
En la nueva edición 27001:2013, se aprecia un cambio en la cultura organizacional al aparecer un nuevo tronco común que se divide en: Contexto de la Organización, Liderazgo, Planificación, Apoyo, Funcionamiento, Evaluación del Desempeño y Mejora.
A continuación se muestra en una tabla los cambios realizados en la antigua norma de 2005.
Modificaciones en ISO/IEC 27001:2013
|
Tabla1. Revisión ISO/IEC 27001 |
|
|
27001 – 2005 (antiguo) |
27001 – 2013 (nuevo) |
|
Introducción Alcance Referencias Normativas Términos y Definiciones |
Introducción Alcance Referencias Normativas Términos y Definiciones |
|
Sistema de Gestión de Seguridad de la Información Responsabilidad de la Dirección Mejora en el SGSI |
Contexto de la Organización Liderazgo Planificación Apoyo Funcionamiento Evaluación del Desempeño Mejora |
|
Objetivos del Anexo A (normativo) de control y controles |
Anexo A (normativo) Objetivos de Control de Referencia y Controles. |
|
Anexo B (normativo) principios de la OCDE y su Estandard Internacional |
|
|
Anexo C (informativo) Correspondencia entre ISO9001.2008, ISO14001.2004 y su Estandard Internacional |
|
|
Fuente: DNV Bussiness Assurance “ISO 27001.2013, An Overview of Changes”, Sept 2013. |
|
Cambios en Evaluación de Riesgos
-
El enfoque ISO27001/IEC para la gestión de riesgos se ha alineado con la norma ISO31000.3
-
Se han usado definiciones de ISO31000 tales como “control” y “tratamiento de riesgos”.
-
Se ha hecho una diferencia entre los riesgos para el sistema de gestión (6.1.1) y los riesgos de Seguridad de la Información (6.12)
-
Se ha añadido una nota en la sección 6.13 Evaluación de Riesgos de Seguridad de la Información
“Nota: El proceso de evaluación y tratamiento de riesgos de seguridad de la información en esta Norma se alinea con los principios y directrices genéricas previstas en ISO31000”.
-
Se decide no enumerar las 7 opciones para el tratamiento de riesgos, ya que están implícitos en la nota
-
Uno de los efectos de la adopción de la norma ISO31000 está en el enfoque de la evaluación de riesgos.
-
Se decide eliminar los detalles sobre cómo se debe realizar la evaluación de riesgos. De tal forma que los requisitos para identificar los activos, amenazas y vulnerabilidades se han ido.
-
Este cambio se hizo porque los requerimientos parecían demasiado prescriptivos, al describir cómo las organizaciones debían gestionar los riesgos en lugar de describir cuáles eran los objetivos.
Cambios en Anexo A: Controles
-
Los objetivos de control y controles del Anexo A de referencia se han revisado, y se
-
han alineado con la revisión de la norma ISO / IEC 27002
-
Se han añadido nuevos requisitos
-
Algunas referencias existentes de la versión 2005 se han modificado y se han reagrupado.
-
Se han suprimido otras referencias.
-
En resumen: El número de controles se redujo de 133 controles en 11 grupos a 113 en 14 grupos
|
Tabla 2. Cambios en Anexo A Controles |
||
|
Versión 2005 |
Versión 2013 |
|
|
A.5 Política de Seguridad |
A.5 Políticas de Seguridad |
|
|
A.6 Organización de la Seguridad de la Información |
A.6 Organización de la Seguridad de la Información |
|
|
A.7 Gestión de Activos |
A.7 Seguridad de los Recursos Humanos |
|
|
A.8 Seguridad de los Recursos Humanos |
A.8 Gestión de Activos |
|
|
A.9 Seguridad Física y Medioambiental |
A.9 Control de Acceso |
|
|
A.10 Gestión de comunicaciones y Operaciones |
A.10 Criptografía |
|
|
A.11 Control de Acceso |
A.11 Seguridad física y Medioambiental |
|
|
A.12 Adquisición de Sistemas de información, desarrollo y mantenimiento |
A.12 Seguridad de Operaciones |
|
|
A.13 Gestión de Incidentes |
A.13 Seguridad de Comunicaciones |
|
|
A.14 Continuidad del Negocio |
A.14 Sistemas de adquisición, desarrollo y mantenimiento |
|
|
A.15 Cumplimento |
A.15 Relaciones con Proveedores |
|
|
A.16 Gestión de Incidentes |
||
|
A. 17Continuidad del Negocio |
||
|
A.18 Cumplimento |
||
|
Fuente: DNV Bussiness Assurance “ISO 27001.2013, An Overview of Changes”, September 2013. |
||
Cambios en la relación con otras normas ISO 27000
-
Al igual que antes ISO 27001 sigue siendo la norma de requerimientos; no contiene orientación u otras explicaciones sobre cómo tratar o implementar dichos requerimientos.
-
Otras normas de la familia ISO 27000 son una guía de documentos que deben alinearse con ISO27001 y no al contrario.
-
Como tal ISO 27002 está en fase de revisión como un proyecto similar a ISO 27001.
-
Por último, ISO 27003 en implementación (o aplicación), ISO 27004 sobre las medidas (métricas de seguridad) e ISO 27005 sobre la gestión de riesgos, necesitarán ser revisados para asegurar su consistencia.
Cambios en Acción Preventiva
Los requisitos de Acción Preventiva han desaparecido ya que eran una fuente constante de confusión pues el concepto era poco claro y se confundía con la gestión de riesgos. Se cubre ahora en el texto raíz en dos puntos, con la intención de que la acción preventiva esté en nivel organizacional:
-
4.1> Requisito para evaluar cuestiones internas / externas.
-
6.1> Requisito para determinar los riesgos y oportunidades.
Cambios en Documentación
La nueva norma exige “información documentada” en lugar de “documentos”. De hecho, la distinción entre documentos y registros se ha eliminado.
La Cláusula 7.5 contiene requisitos generales sobre la creación, actualización y control de
información documentada.
No se exige ahora un procedimiento de control de documentos o de control de registros.
1ISO/IEC 27000 International Standard, Overview & Vocabulary 3ª edición, 2014.
