Una mirada a los principales cambios del Sistema
de Gestión de la Seguridad de la Información
ISO/IEC 27001:2013
ISO/IEC 27001:2013
Una mirada a los principales cambios del
Sistema de Gestión de la Seguridad de la
Estructura de la Norma
•
Común a todas las normas ISO
Facilita la interpretación de distintas normas y
la implantación conjunta
–
Se alinea con el anexo SL de las directivas de
ISO/IEC
–
Ej: ISO 22301:2012 (gestión del continuidad del
negocio)
–
Se espera que las futuras versiones de ISO 9001 e
ISO 20000 adopten esta estructura
Anexo SL
•
La publicación del Anexo SL, sustituye a la
Guía 83
•
El Anexo SL define la estructura y el formato
común para todas las nuevas normas de
sistemas de gestión ISO y revisiones de las
normas existentes.
–
No alterará los requisitos de las normas.
–
Ayudará a normalizar los enfoques lingüísticos y
de gestión.
Anexo SL, estructura de alto nivel
# Cláusula 1 Alcance 2 Referencias normativas 3 Términos y definiciones 4 Contexto de la organización 5 Liderazgo 6 Planificación 7 Apoyo 8 Operación9 Evaluación del desempeño 10 Mejora
Estructura de la Norma
•
Desaparecen las definiciones existentes en la
versión 2005
Garantiza la coherencia en los términos y
definiciones de toda la familia 27000
–
Se eliminaron las irrelevantes
–
Las relevantes se pasaron a la ISO/IEC 27000
Estructura de la Norma
•
Enfoque basado en procesos
Se reconoce como un requisito importante la
mejora continua y se posibilita el uso de otros
modelos distintos al PDCA (Plan, Do, Check, Act)
–
Se elimina la sección de la norma que hace referencia
al enfoque basado en procesos.
–
El modelo PDCA no se referencia explícitamente en la
nueva norma, sin embargo, está allí como un modelo
de mejora.
–
Los diferentes elementos de PDCA se distribuyen
dentro de la estructura de la norma.
Estructura de la Norma
•
Nuevos criterios
–
Da mayor importancia al cumplimiento de todos
los requisitos, al momento de realizar la
implementación completa del SGSI.
–
El orden de aparición no es orden en que se
deben implantar los requisitos.
–
Focalizada en establecer objetivos, realizar
seguimiento y mediciones.
–
Compromiso de la dirección se centrado en el
“Liderazgo”
Tabla de contenido I
2005
1 Introducción 2 Objeto 3 Referencias Normativas 4 SGSI 5 Responsabilidad de la dirección 6 Auditoría Interna 7 Revisión de la Dirección 8 Mejora2013
1 Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 Operación 9 Evaluación de Desempeño 10 Mejora Oscar F. Giudice ‹#› 9Tabla de contenido I
2005
4 SGSI 4.1 General 4.2 Implementar y Operar 4.3 Documentar2013
1 Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 OperaciónClausulas y Requisitos
Versión 2005 Versión 2013
Requisitos 102 130
Clausulas De la 4 a la 8 De la 4 a la 10
•
Se reorganiza el número de clausulas
•
Se crean nuevas secciones
Dominios y Controles
Versión 2005 Versión 2013
•
Los cambios en los controles siguen a la ISO/IEC
27002:2013
•
Controles: se mantienen 94, eliminados 39, se
incorporan 20
Las organizaciones deben “determinar” los controles
necesarios, para el tratamiento de riesgos. Afín de no
olvidar ningún control importante, los controles
seleccionados, deben compararse con el Anexo A.
Dominios de Seguridad
11
D
om
ini
os
de
Seg
ur
ida
d
A.5Políticas de seguridad de la información
A.6
Organización de la seguridad de la información
A.7
Gestión de activos (AI)
A.8
Seguridad de los recursos humanos
A.9
Seguridad física y del entorno
A.10
Gestión de comunicaciones y operaciones
A.11Control de acceso (Lógico)
A.12
Adquisición, desarrollo y mantenimiento de sistemas
A.13Gestión de incidentes de seguridad de información
A.14Gestión de la continuidad de negocio
A.15
Conformidad
Dominios de Seguridad
D
omi
ni
os
de S
eg
urida
d
.
A.5
Políticas de seguridad de la información
A.6
Organización de la seguridad de la información
A.7Seguridad de los recursos humanos
A.8
Gestión de activos
A.9Control de accesos
A.10
Criptografía
A.11
Seguridad física y ambiental
A.12
Seguridad en las operaciones
A.13
Seguridad en las comunicaciones
A.14
Adquisición, desarrollo y mantenimiento de sistemas
A.15
Relación con proveedores
Conclusiones
•
Facilita la integración de Sistemas de Gestión
•
Aparece un vocabulario homogéneo
•
Facilita la auditoría
•
Mayor compromiso de la dirección “liderazgo
del proceso”
•
Mejora en la gestión de riegos (Gestión de
Riesgos Estratégica)
ISO/IEC 27001:2013 para
•
Enfrentar la ciber-delincuencia y proteger el
negocio.
•
Recuperarse de desastres
•
Minimización del riesgo al que se ve expuesta la
información
•
Mejorar el gobierno corporativo Reduciendo la
exposición financiera resultante de fallas en las
TICs.
•
Alineamiento la Gestión de Riesgos de TI con las
Oscar Giudice
Tecno
Integración
Más de 30 años de experiencia en electro-tecnologías:
Informática, Telecomunicaciones, Electrónica
Actividad Actual • Responsable de Infraestructura TIC en DINAMA - MVOTMA (Dirección Nacional de Medio Ambiente del Uruguay)
• Director de TecnoIntegración
Áreas de expertise • Seguridad de la Información
• Bussines Continuity & Disaster recovery
• Infraestructura TICs
Países de operación • Argentina y Uruguay
Asociaciones • Director CCAT-Lat
(asociación civil internacional sin fines de lucro)
• Vicepresidente ISSA Capítulo Uruguay (2012-2014)
(Information Systems Security Association)
• Miembro del Comité de Seguridad de la Información
Instituto Uruguayo de Normas Técnicas (UNIT)
• IEEE Sección Argentina - 1990 al 1992
(Institute of Electrical and Electronics Engineers)
• COPITEC Matrícula Nro. T-2479