Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo  Estándar  en  Sistemas  de  Gestión  de  Seguridad  de  la  

Información  

ISO/IEC  27001:2013  

El   modelo   de   Gestión   de   la   Seguridad   de   Información,   el   ISO   27001:2005,   que   fue   oficializado  el  15  de  Octubre  del  año  2005,  esta  en  proceso  de  desaparición.  

El   denominado   Grupo   de   Trabajo   1,   parte   del   “Joint   Technical   Committee   1”,   de   la   Organización  Internacional  de  Normalización  (ISO),    el  1  de  Octubre  del  2013,    emitió  el   nuevo  ISO/IEC  27001:2013.  

Las   empresas   estarán   regidas   por   los   organismos   acreditadores   para   efectuar   la   respectiva  migración  al  nuevo  estándar,  el  cual  es  usualmente  de  unos  dieciocho  meses.   Luego  de  este  tiempo,  el  ISO  27001:2005,  quedará  en  la  obsolescencia.  

La  primera  versión  publicada  fue  el    Draft  International  Standard  (DIS),  realizada  el  16   de  Enero  del  2013.  La  versión  Final  Draft  International  Standard  (FDIS,  fue  publicada  el   9  de  Julio  del  2013.    

A   continuación   en   este   ensayo,   se   le   presentará   al   lector   la   nueva   estructura   del   estándar,  los  nuevos  cambios  y  algunas  recomendaciones.  

Aspectos  Generales  del  ISO/IEC  27001:2013  

Este  nuevo  estándar  ha  sido  redactado  en  concordancia  con  el  Anexo  SL,  anteriormente   el   lineamiento   ISO   83.   Este   anexo   da   los   lineamientos   y   estructura   que   todos   los   estándares  deben  seguir.  El  primer  estándar  redactado  siguiendo  esta  estructura  es  el   ISO  22301:2012.  

A  lo  largo  del  estándar  ya  no  se  hace  hincapié  en  el  ciclo  Deming  (plan-­‐do-­‐check-­‐act).  El   modelo  esta  implícito  en  la  estructura.  Un  aspecto  interesante,  es  que  las  definiciones  de   la  versión  2005,  han  sido  removidas  y  ubicadas  en  el  ISO  27000.  Se  encuentran  cambios   en  la  terminología  utilizada,  con  el  estándar  anterior.  Vale  mencionar,  que  ya  no  existe   el   término   “acción   preventiva”.   Este   término   ha   sido   reemplazado   con   “acciones   a   atender,  riesgos  y  oportunidades”.  Se  encuentra  que  los  requerimientos  de  evaluación  

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

del   riesgo   son   mas   generales.   La   declaración   de   aplicabilidad   mantiene   los   mismos   requerimientos,   pero   con   mas   claridad.   El   estándar   presenta   mayor   énfasis   en   establecimiento  de  objetivos,  monitoreo  del  desempeño  y  métricas.  

Nueva  Estructura    

En   la   Figura   Nª   1   se   tiene   la   nueva   estructura   de   la   sección   metodológica,   la   cual   comprende  las  secciones  de  la  cuatro  a  la  diez.  

Estructura  de  las  Secciones.-­‐    

Ha   habido   una   serie   de   cambios.   En   el   caso   de   criptografía,   se   ha   convertido   en   una   nueva  sección,  ahora  estará  en  la  sección  10,  es  lógica  y  ya  no  es  parte  de  “  Adquisición,   Desarrollo  y  Mantenimiento  de  Sistemas  de  Información”.  Algo  similar  ha  sucedido  con   “Relaciones  con  Suplidores”.  Ahora  serán  la  sección  15.  La  sección  “Comunicaciones  y   Gestión  de  Operaciones”,  esta  dividida  en  “Seguridad  de  Operaciones”  en  la  sección  12  y   “Seguridad  de  Comunicaciones”  que  se  ubica  en  la  sección  13.    

Ubicación  de  las  Categorías  de  Seguridad  

Las  categorías    de  los  controles  se  han  mezclado  un  poco,  con  miras  a  buscar  mas  orden.   Así  tenemos  que  “Computación  Móvil  y  Trabajo  a  Distancia”,  anteriormente  ubicada  en   “Control  de  Accesos”,  ahora  estará  en  la  6.2,  como  parte  de  la  sección  6  “Organización  de   la  Seguridad  de  la  Información.”  

“Manejo  de  Medios  de  Información”  anteriormente  era  parte  de  la  sección  A.10  “Gestión   de  Comunicaciones  y  Operaciones”,  ahora  esta  ubicada  en  la  sección  8.3  como  parte  de   “Gestión  de  Activos”  en  la  sección  8.  

“Control   de   Acceso   al   Sistema   Operativo”   y   “Control   de   Acceso   a   las   Aplicaciones   e   Información”,  se  han  juntado  en  la  sección  9.4  bajo  el  nombre  de  “Control  de  Accesos  y   Aplicaciones  del  Sistema”,  permaneciendo  en  la  sección  9,  bajo  “Control  de  Accesos”.   “Control  del  Software  Operativo”,  era  anteriormente  un  control  aislado  en  la  sección  “   Adquisición,   Desarrollo   y   Mantenimiento   de   sistemas   de   Información”,   ahora   es   una   categoría   separada   en   la   sección   12.5   como   parte   de   la   sección   “Seguridad   de   Operaciones”  

“Consideraciones   para   Auditorias   de   Sistemas   de   Información”,   ha   sido   movido   a   “Cumplimiento”,  a  la  parte  12.7,  como  parte  de  la  sección  de  “Seguridad  de  Operaciones”   La  categoría  denominada  “Control  de  Acceso  a  la  Red”  ha  sido  eliminada,  y  algunos  de   sus  controles  han  sido  desplazados  a  la  sección  13  “Seguridad  en  las  Comunicaciones.”   Transferencia   de   Información,   previamente   llamada   “Intercambio   de   Información”,   es   ahora  el  control  13.2,  parte  de  la  sección    13  “Seguridad  en  las  Comunicaciones.    

La   controversial   categoría   “Procesamiento   Correcto   en   las   Aplicaciones”   ha   sido   eliminada.  

“Servicios    de  Comercio  electrónico”  ya  no  existe  como  categoría  separada,  los  controles   se   han   juntado   en   la   sección   14.1   “Requerimientos   de   Seguridad   de   Sistemas   de   Información.”  

Dos  categorías  de  la  sección  “Gestión  de  Incidentes  de  Seguridad  de  Información”  se  han   juntado  en  una  sola.  

Hay   un   nuevo   cambio   la   sección     17.2   “Redundancias”.   Esto   básicamente   trata   la   problemática   de   “Recuperación   ante   Desastres”.   Esta   relacionada   con   continuidad   del   negocio.  

Figura  Nº  1  

Nueva  Estructura  Parte  Metodológica  

A   continuación   se   hará   una   breve   explicación   de   los   aspectos   mas   relevantes   de   las   secciones  de  la  parte  metodológica  de  la  norma:  

4.  Contexto  de  la  Organización  

§ La   cláusula   4   requiere   que   la   organización   determine   sus   aspectos   internos   y   externos  

§ Existe   un   claro   requerimiento   de   considerar   a   las   “partes   interesadas”   y   sus   requerimientos.  

§ Los   requerimientos   de   las   partes   interesadas   pueden   incluir   requerimientos   contractuales  y/o  regulatorios.  

§ Esto  determinara  su  política  de  seguridad  de  información  sus  objetivos  y  como   se  considera  el  riesgo  y  el  efecto  del  riesgo  en  la  firma.  

§ Se  requiere  una  adecuada  consideración  del  alcance  para  el  SGSI    

5.  Liderazgo  

§ La   cláusula   5   del   estándar   resume   los   requerimientos   específicos   del   rol   de     la   alta  gerencia  en  el  SGSI.  

§ El   nuevo   estándar   requiere   que   el   liderazgo   de   la   alta   gerencia   sea   mas   demostrable  y  activo.  

§ La   política   del   SGSI   ahora   se   denomina   política   de   seguridad   de   información,   sigue  igual  que  en  la  versión  anterior.  

§ La  cláusula  5  contiene  requerimientos  para  que  la  alta  gerencia  asegure  que  las   responsabilidades   y   autoridades   para   roles   relevantes   a   la   seguridad   de   información  sean  asignados  y  comunicados.  

Cómo  la  Gerencia  Demuestra  su  Compromiso  

§ Asegurando  que  las  políticas  y  objetivos  están  establecidos   § Asegurando  la  integración  de  los  requerimientos  del  ISO  27001   § Asegurando  que  los  recursos  necesarios  están  disponibles  

§ Comunicando  la  importancia  de  la  conformidad  de  los  requerimientos  del  SGSI   § Asegurando  que  los  resultados  del  SGSI  sean  alcanzados  

§ Apoyando   y   dirigiendo   a   las   personas   a   que   contribuyan   con   la   efectividad   del   SGSI.  

§ Promoviendo  la  mejora  continuada  

§ Apoyando  a  otros  gerentes  a  demostrar  liderazgo.    

6.  Planeación  

§ Nueva   sección   relacionada   al   establecimiento   de   objetivos   de   seguridad   de   información  y  principios  guías  para  el  SGSI  como  un  todo.  

§ Cuando   se   planifica   el   SGSI   el   contexto   de   la   organización   debe   considerarse   mediante  los  riesgos  y  oportunidades.  

§ Los  objetivos  de  seguridad  de  información  deben  estar  claramente  definidos  con   planes  para  alcanzarlos.  

§ La  valuación  del  riesgo  es  mas  genérica  reflejando  un  alineamiento  del  ISO/IEC   27001  con  el  ISO  31000  

§ Los  requerimientos  de  la  declaración  de  aplicabilidad  mayormente  no  ha  sufrido   cambios.  

  7.  Soporte  

§ La  cláusula  7  detalla  los  requerimientos  de  apoyo  para  establecer,  implementar  y   mantener  la  mejora  continuada  y  un  eficaz  SGSI,  incluyendo:  

1. Requerimientos  de  recursos  

2. Competencias  del  personal  involucrado  

3. Toma  de  conciencia  y  comunicación  con  partes  interesadas   4. Requerimientos  para  la  gestión  de  documentación.  

§ El   nuevo   estándar   se   refiere   a   “información   documentada”   en   vez   de     “documentos   y   registros”   y   requiere   que   se   retengan   como   evidencia   de   competencia.  

§ Ya  no  existe  una  lista  de  documentos  que  se  deben  tener  

§ La  nueva  revisión  pone  énfasis  en  el  contenido  en  vez  que  el  nombre.    

8.  Operación  

§ ISO/IEC   27001   requiere   que   la   organización   planifique   y   controle   la   operación   de   los   procesos   necesarios   para   alcanzar   los   requerimientos   de   seguridad   de   información,  incluyendo:  

1. Manteniendo  documentos   2. Manejando  el  cambio  

3. Respondiendo  a  eventos  adversos  

4. El  control  de  procesos  tercerizados  (outsource)   § La  planeación  operativa  y  el  control  exige:  

1. Llevar   a   cabo   valuación   de   los   riesgos   de   seguridad   de   información   a   intervalos  planificados  

2. La  implementación  de  planes  de  tratamiento  del  riesgo    

9.  Evaluación  del  Desempeño  

§ Las  auditorias  internas  y  las  revisiones  gerenciales  siguen  siendo  métodos  claves   para   la   revisión   del   desempeño   del   SGSI   y   herramientas   para   su   continuo   mejoramiento.  

§ Los  nuevos  requerimientos  para  la  medición  de  la  eficacia  son  mas  específicos  y   mas   amplios   que   en   la   versión   2005   la   cual   se   refería   a   la   efectividad   de   los   controles.  

§ Para   asegurar   su   continua   idoneidad,   adecuación   y   eficacia,   la   gerencia   debe   considerar  cambios  en  los  aspectos  internos  y  externos.  

10.  Mejoramiento  

§ La  organización  debe  reaccionar  a  cualquier  no  conformidad  identificada,  tomar   acción  para  controlar  y  corregirla  y  tratar  las  consecuencias.  

§ No   conformidades   del   SGSI   deben   ser   tratadas   con   acciones   correctivas   para   asegurar  que  no  haya  recurrencia  o  ocurra  en  otro  lugar.  

§ Como   con   todos   los   sistemas   de   gestión   la   mejora   continua   es   un   aspecto   fundamental  requerido  por  el  estándar.  

Anexo  de  la  Norma  

En  el  anexo  A,  ha  habido  una  serie  de  cambios.  Las  secciones  en  el  anexo  A  de  la  nueva   versión   han   aumentado     a   14   en   vez   de   11   que   tenia   la   versión   2005.   Así   mismo   el   número  de  controles  ha  disminuido  de  133  a  113.  

Las   organizaciones   tendrán   que   revisar   con   mucho   detalle   su   declaración   de   aplicabilidad  y  hacer  los  ajustes  requeridos.  En  la  Figura  Nº  2  se  tienen  los  14  dominios   del  Anexo  A.  

El  nuevo  Anexo  A  presenta  los  siguientes  controles  que  antes  no  existian:    

§ A.6.1.5  Seguridad  de  información  en  gestión  de  proyectos   § A.12.6.2  Restricciones  en  la  instalación  de  software   § A.14.2.1  Seguridad  en  el  desarrollo  de  política  

§ A.14.2.5  Principios  de  seguridad  en  ingeniería  de  sistemas   § A.14.2.6  Ambiente  seguro  de  desarrollo  

§ A.14.2.8  Prueba  de  seguridad  del  sistema  

§ A.15.1.1  Política  de  seguridad  de  información  para  relaciones  con  suplidores   § A.15.1.3  Información  y  tecnología  de  comunicación  en  la  cadena  de  suministros.   § A.16.1.4  Valuación  de  y  decisiones  en  eventos  de  seguridad  de  información   § A.16.1.5  Respuesta  a  incidentes  de  seguridad  de  información  

§ A.17.2.1  Disponibilidad  de  instalaciones  para  procesamiento  de  la  información.                                                       Figura  Nº  2   Dominios  del  Anexo  A    

En  la  Tabla  Nº  1,  se  presenta  la  relación  existente  entre  los  controles  del  Anexo  A  de  la   versión   2005   con   la   del   2013.   Notamos   que   han   aparecido   nuevos   controles   pero   se   mantiene  una  gran  correspondencia  entre  las  dos  versiones  

Tabla  Nº  1  

Relación  entre  Grupos  de  Control  en  el  Anexo  A  

ISO/IEC  27001:2005   ISO/IEC  FDIS  27001:2013  

5 Política de Seguridad 5 Política de Seguridad

6 Organización de la Seguridad de la Información

6 Organización de la Seguridad de la Información

8 Seguridad de Recursos Humanos 7 Seguridad de Recursos Humanos

7 Gestión de Activos 8 Gestión de Activos

11 Control de Acceso 9 Control de Acceso

12 Adquisición de Sistemas de Información, Desarrollo y Mantenimiento

10 Criptografía

9 Seguridad Física y Ambiental 11 Seguridad Física y Ambiental

10 Comunicaciones y Gestión de Operaciones

12 13

Seguridad de Operaciones

Seguridad en las Comunicaciones 12 Adquisición de Sistemas de

Información, Desarrollo y Mantenimiento

14 15

Adquisición de Sistemas, Desarrollo y Mantenimiento

Relaciones con suplidores 13 Gestión de Incidentes de Seguridad de

Información 16 Gestión de Incidentes de Seguridad de Información

14 Gestión de Continuidad del Negocio 17 Aspectos de Seguridad de Información

de la Gestión de Continuidad del Negocio 15 Cumplimiento 18 Cumplimiento         Conclusiones    

La   necesidad   de   asegurar   seguridad   en   el   manejo   de   la   información   en   las   empresas,   nunca  ha  sido  mayor  que  en  la  actualidad.  El  mundo  cada  día  esta  mas  interconectado.   La  innovación  en  Tecnología  de  la  Información  es  algo  cotidiano.  Todo  esto  hace  que  las   amenazas  crezcan  en  progresión  aritmética  y  las  vulnerabilidades  organizacionales  se  

incrementan   en   progresión   geométrica.   La   necesidad   de   hacer   análisis   de   riesgo,   establecer   controles   y   hacerles   seguimiento   es   algo   prioritario   en   las   empresas   para   poder  dar  confianza  al  mercado.  

La  nueva  versión  ISO  27001:2013  continuará  ofreciendo  a  los  clientes  y  a  organismos   regulatorios   la   confianza   que   se   tiene   un   sistema   de   gestión   de   seguridad   de   información,  eficaz  y  confiable  protegiendo  la  información  y  mitigando  los  riesgos.   La  versión  ISO  27001:2013,  es  mas  fácil  de  entender,  sin  ser  sencilla  su  implantación.   Siempre   se   requerirá   un   buen   entendimiento   de   los   principios   de   seguridad   de   la   información.  

Las   empresas   que   tienen   implantado   el   modelo   y   lo   han   certificado,   deberán   a   la   brevedad  posible  iniciar  su  proyecto  de  migración  a  la  nueva  versión.