Nuevo Estándar en Sistemas de Gestión de Seguridad de la
Información
ISO/IEC 27001:2013
IntroducciónEl modelo de Gestión de la Seguridad de Información, el ISO 27001:2005, que fue oficializado el 15 de Octubre del año 2005, esta en proceso de desaparición.
El denominado Grupo de Trabajo 1, parte del “Joint Technical Committee 1”, de la Organización Internacional de Normalización (ISO), el 1 de Octubre del 2013, emitió el nuevo ISO/IEC 27001:2013.
Las empresas estarán regidas por los organismos acreditadores para efectuar la respectiva migración al nuevo estándar, el cual es usualmente de unos dieciocho meses. Luego de este tiempo, el ISO 27001:2005, quedará en la obsolescencia.
La primera versión publicada fue el Draft International Standard (DIS), realizada el 16 de Enero del 2013. La versión Final Draft International Standard (FDIS, fue publicada el 9 de Julio del 2013.
A continuación en este ensayo, se le presentará al lector la nueva estructura del estándar, los nuevos cambios y algunas recomendaciones.
Aspectos Generales del ISO/IEC 27001:2013
Este nuevo estándar ha sido redactado en concordancia con el Anexo SL, anteriormente el lineamiento ISO 83. Este anexo da los lineamientos y estructura que todos los estándares deben seguir. El primer estándar redactado siguiendo esta estructura es el ISO 22301:2012.
A lo largo del estándar ya no se hace hincapié en el ciclo Deming (plan-‐do-‐check-‐act). El modelo esta implícito en la estructura. Un aspecto interesante, es que las definiciones de la versión 2005, han sido removidas y ubicadas en el ISO 27000. Se encuentran cambios en la terminología utilizada, con el estándar anterior. Vale mencionar, que ya no existe el término “acción preventiva”. Este término ha sido reemplazado con “acciones a atender, riesgos y oportunidades”. Se encuentra que los requerimientos de evaluación
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
del riesgo son mas generales. La declaración de aplicabilidad mantiene los mismos requerimientos, pero con mas claridad. El estándar presenta mayor énfasis en establecimiento de objetivos, monitoreo del desempeño y métricas.
Nueva Estructura
En la Figura Nª 1 se tiene la nueva estructura de la sección metodológica, la cual comprende las secciones de la cuatro a la diez.
Estructura de las Secciones.-‐
Ha habido una serie de cambios. En el caso de criptografía, se ha convertido en una nueva sección, ahora estará en la sección 10, es lógica y ya no es parte de “ Adquisición, Desarrollo y Mantenimiento de Sistemas de Información”. Algo similar ha sucedido con “Relaciones con Suplidores”. Ahora serán la sección 15. La sección “Comunicaciones y Gestión de Operaciones”, esta dividida en “Seguridad de Operaciones” en la sección 12 y “Seguridad de Comunicaciones” que se ubica en la sección 13.
Ubicación de las Categorías de Seguridad
Las categorías de los controles se han mezclado un poco, con miras a buscar mas orden. Así tenemos que “Computación Móvil y Trabajo a Distancia”, anteriormente ubicada en “Control de Accesos”, ahora estará en la 6.2, como parte de la sección 6 “Organización de la Seguridad de la Información.”
“Manejo de Medios de Información” anteriormente era parte de la sección A.10 “Gestión de Comunicaciones y Operaciones”, ahora esta ubicada en la sección 8.3 como parte de “Gestión de Activos” en la sección 8.
“Control de Acceso al Sistema Operativo” y “Control de Acceso a las Aplicaciones e Información”, se han juntado en la sección 9.4 bajo el nombre de “Control de Accesos y Aplicaciones del Sistema”, permaneciendo en la sección 9, bajo “Control de Accesos”. “Control del Software Operativo”, era anteriormente un control aislado en la sección “ Adquisición, Desarrollo y Mantenimiento de sistemas de Información”, ahora es una categoría separada en la sección 12.5 como parte de la sección “Seguridad de Operaciones”
“Consideraciones para Auditorias de Sistemas de Información”, ha sido movido a “Cumplimiento”, a la parte 12.7, como parte de la sección de “Seguridad de Operaciones” La categoría denominada “Control de Acceso a la Red” ha sido eliminada, y algunos de sus controles han sido desplazados a la sección 13 “Seguridad en las Comunicaciones.” Transferencia de Información, previamente llamada “Intercambio de Información”, es ahora el control 13.2, parte de la sección 13 “Seguridad en las Comunicaciones.
La controversial categoría “Procesamiento Correcto en las Aplicaciones” ha sido eliminada.
“Servicios de Comercio electrónico” ya no existe como categoría separada, los controles se han juntado en la sección 14.1 “Requerimientos de Seguridad de Sistemas de Información.”
Dos categorías de la sección “Gestión de Incidentes de Seguridad de Información” se han juntado en una sola.
Hay un nuevo cambio la sección 17.2 “Redundancias”. Esto básicamente trata la problemática de “Recuperación ante Desastres”. Esta relacionada con continuidad del negocio.
Figura Nº 1
Nueva Estructura Parte Metodológica
A continuación se hará una breve explicación de los aspectos mas relevantes de las secciones de la parte metodológica de la norma:
4. Contexto de la Organización
§ La cláusula 4 requiere que la organización determine sus aspectos internos y externos
§ Existe un claro requerimiento de considerar a las “partes interesadas” y sus requerimientos.
§ Los requerimientos de las partes interesadas pueden incluir requerimientos contractuales y/o regulatorios.
§ Esto determinara su política de seguridad de información sus objetivos y como se considera el riesgo y el efecto del riesgo en la firma.
§ Se requiere una adecuada consideración del alcance para el SGSI
5. Liderazgo
§ La cláusula 5 del estándar resume los requerimientos específicos del rol de la alta gerencia en el SGSI.
§ El nuevo estándar requiere que el liderazgo de la alta gerencia sea mas demostrable y activo.
§ La política del SGSI ahora se denomina política de seguridad de información, sigue igual que en la versión anterior.
§ La cláusula 5 contiene requerimientos para que la alta gerencia asegure que las responsabilidades y autoridades para roles relevantes a la seguridad de información sean asignados y comunicados.
Cómo la Gerencia Demuestra su Compromiso
§ Asegurando que las políticas y objetivos están establecidos § Asegurando la integración de los requerimientos del ISO 27001 § Asegurando que los recursos necesarios están disponibles
§ Comunicando la importancia de la conformidad de los requerimientos del SGSI § Asegurando que los resultados del SGSI sean alcanzados
§ Apoyando y dirigiendo a las personas a que contribuyan con la efectividad del SGSI.
§ Promoviendo la mejora continuada
§ Apoyando a otros gerentes a demostrar liderazgo.
6. Planeación
§ Nueva sección relacionada al establecimiento de objetivos de seguridad de información y principios guías para el SGSI como un todo.
§ Cuando se planifica el SGSI el contexto de la organización debe considerarse mediante los riesgos y oportunidades.
§ Los objetivos de seguridad de información deben estar claramente definidos con planes para alcanzarlos.
§ La valuación del riesgo es mas genérica reflejando un alineamiento del ISO/IEC 27001 con el ISO 31000
§ Los requerimientos de la declaración de aplicabilidad mayormente no ha sufrido cambios.
7. Soporte
§ La cláusula 7 detalla los requerimientos de apoyo para establecer, implementar y mantener la mejora continuada y un eficaz SGSI, incluyendo:
1. Requerimientos de recursos
2. Competencias del personal involucrado
3. Toma de conciencia y comunicación con partes interesadas 4. Requerimientos para la gestión de documentación.
§ El nuevo estándar se refiere a “información documentada” en vez de “documentos y registros” y requiere que se retengan como evidencia de competencia.
§ Ya no existe una lista de documentos que se deben tener
§ La nueva revisión pone énfasis en el contenido en vez que el nombre.
8. Operación
§ ISO/IEC 27001 requiere que la organización planifique y controle la operación de los procesos necesarios para alcanzar los requerimientos de seguridad de información, incluyendo:
1. Manteniendo documentos 2. Manejando el cambio
3. Respondiendo a eventos adversos
4. El control de procesos tercerizados (outsource) § La planeación operativa y el control exige:
1. Llevar a cabo valuación de los riesgos de seguridad de información a intervalos planificados
2. La implementación de planes de tratamiento del riesgo
9. Evaluación del Desempeño
§ Las auditorias internas y las revisiones gerenciales siguen siendo métodos claves para la revisión del desempeño del SGSI y herramientas para su continuo mejoramiento.
§ Los nuevos requerimientos para la medición de la eficacia son mas específicos y mas amplios que en la versión 2005 la cual se refería a la efectividad de los controles.
§ Para asegurar su continua idoneidad, adecuación y eficacia, la gerencia debe considerar cambios en los aspectos internos y externos.
10. Mejoramiento
§ La organización debe reaccionar a cualquier no conformidad identificada, tomar acción para controlar y corregirla y tratar las consecuencias.
§ No conformidades del SGSI deben ser tratadas con acciones correctivas para asegurar que no haya recurrencia o ocurra en otro lugar.
§ Como con todos los sistemas de gestión la mejora continua es un aspecto fundamental requerido por el estándar.
Anexo de la Norma
En el anexo A, ha habido una serie de cambios. Las secciones en el anexo A de la nueva versión han aumentado a 14 en vez de 11 que tenia la versión 2005. Así mismo el número de controles ha disminuido de 133 a 113.
Las organizaciones tendrán que revisar con mucho detalle su declaración de aplicabilidad y hacer los ajustes requeridos. En la Figura Nº 2 se tienen los 14 dominios del Anexo A.
El nuevo Anexo A presenta los siguientes controles que antes no existian:
§ A.6.1.5 Seguridad de información en gestión de proyectos § A.12.6.2 Restricciones en la instalación de software § A.14.2.1 Seguridad en el desarrollo de política
§ A.14.2.5 Principios de seguridad en ingeniería de sistemas § A.14.2.6 Ambiente seguro de desarrollo
§ A.14.2.8 Prueba de seguridad del sistema
§ A.15.1.1 Política de seguridad de información para relaciones con suplidores § A.15.1.3 Información y tecnología de comunicación en la cadena de suministros. § A.16.1.4 Valuación de y decisiones en eventos de seguridad de información § A.16.1.5 Respuesta a incidentes de seguridad de información
§ A.17.2.1 Disponibilidad de instalaciones para procesamiento de la información. Figura Nº 2 Dominios del Anexo A
En la Tabla Nº 1, se presenta la relación existente entre los controles del Anexo A de la versión 2005 con la del 2013. Notamos que han aparecido nuevos controles pero se mantiene una gran correspondencia entre las dos versiones
Tabla Nº 1
Relación entre Grupos de Control en el Anexo A
ISO/IEC 27001:2005 ISO/IEC FDIS 27001:2013
5 Política de Seguridad 5 Política de Seguridad
6 Organización de la Seguridad de la Información
6 Organización de la Seguridad de la Información
8 Seguridad de Recursos Humanos 7 Seguridad de Recursos Humanos
7 Gestión de Activos 8 Gestión de Activos
11 Control de Acceso 9 Control de Acceso
12 Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
10 Criptografía
9 Seguridad Física y Ambiental 11 Seguridad Física y Ambiental
10 Comunicaciones y Gestión de Operaciones
12 13
Seguridad de Operaciones
Seguridad en las Comunicaciones 12 Adquisición de Sistemas de
Información, Desarrollo y Mantenimiento
14 15
Adquisición de Sistemas, Desarrollo y Mantenimiento
Relaciones con suplidores 13 Gestión de Incidentes de Seguridad de
Información 16 Gestión de Incidentes de Seguridad de Información
14 Gestión de Continuidad del Negocio 17 Aspectos de Seguridad de Información
de la Gestión de Continuidad del Negocio 15 Cumplimiento 18 Cumplimiento Conclusiones
La necesidad de asegurar seguridad en el manejo de la información en las empresas, nunca ha sido mayor que en la actualidad. El mundo cada día esta mas interconectado. La innovación en Tecnología de la Información es algo cotidiano. Todo esto hace que las amenazas crezcan en progresión aritmética y las vulnerabilidades organizacionales se
incrementan en progresión geométrica. La necesidad de hacer análisis de riesgo, establecer controles y hacerles seguimiento es algo prioritario en las empresas para poder dar confianza al mercado.
La nueva versión ISO 27001:2013 continuará ofreciendo a los clientes y a organismos regulatorios la confianza que se tiene un sistema de gestión de seguridad de información, eficaz y confiable protegiendo la información y mitigando los riesgos. La versión ISO 27001:2013, es mas fácil de entender, sin ser sencilla su implantación. Siempre se requerirá un buen entendimiento de los principios de seguridad de la información.
Las empresas que tienen implantado el modelo y lo han certificado, deberán a la brevedad posible iniciar su proyecto de migración a la nueva versión.