ISO/IEC 27001:2013. Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información. Oscar F.

Una mirada a los principales cambios del Sistema

de Gestión de la Seguridad de la Información

ISO/IEC 27001:2013

ISO/IEC 27001:2013

Una mirada a los principales cambios del

Sistema de Gestión de la Seguridad de la

Estructura de la Norma

•

Común a todas las normas ISO

Facilita la interpretación de distintas normas y

la implantación conjunta

–

Se alinea con el anexo SL de las directivas de

ISO/IEC

–

Ej: ISO 22301:2012 (gestión del continuidad del

negocio)

–

Se espera que las futuras versiones de ISO 9001 e

ISO 20000 adopten esta estructura

Anexo SL

•

La publicación del Anexo SL, sustituye a la

Guía 83

•

El Anexo SL define la estructura y el formato

común para todas las nuevas normas de

sistemas de gestión ISO y revisiones de las

normas existentes.

–

No alterará los requisitos de las normas.

–

Ayudará a normalizar los enfoques lingüísticos y

de gestión.

Anexo SL, estructura de alto nivel

# Cláusula 1 Alcance 2 Referencias normativas 3 Términos y definiciones 4 Contexto de la organización 5 Liderazgo 6 Planificación 7 Apoyo 8 Operación

9 Evaluación del desempeño 10 Mejora

Estructura de la Norma

•

Desaparecen las definiciones existentes en la

versión 2005

Garantiza la coherencia en los términos y

definiciones de toda la familia 27000

–

Se eliminaron las irrelevantes

–

Las relevantes se pasaron a la ISO/IEC 27000

Estructura de la Norma

•

Enfoque basado en procesos

Se reconoce como un requisito importante la

mejora continua y se posibilita el uso de otros

modelos distintos al PDCA (Plan, Do, Check, Act)

–

Se elimina la sección de la norma que hace referencia

al enfoque basado en procesos.

–

El modelo PDCA no se referencia explícitamente en la

nueva norma, sin embargo, está allí como un modelo

de mejora.

–

Los diferentes elementos de PDCA se distribuyen

dentro de la estructura de la norma.

Estructura de la Norma

•

Nuevos criterios

–

Da mayor importancia al cumplimiento de todos

los requisitos, al momento de realizar la

implementación completa del SGSI.

–

El orden de aparición no es orden en que se

deben implantar los requisitos.

–

Focalizada en establecer objetivos, realizar

seguimiento y mediciones.

–

Compromiso de la dirección se centrado en el

“Liderazgo”

Tabla de contenido I

2005

1 Introducción 2 Objeto 3 Referencias Normativas 4 SGSI 5 Responsabilidad de la dirección 6 Auditoría Interna 7 Revisión de la Dirección 8 Mejora

2013

1 Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 Operación 9 Evaluación de Desempeño 10 Mejora Oscar F. Giudice ‹#› 9

Tabla de contenido I

2005

4 SGSI 4.1 General 4.2 Implementar y Operar 4.3 Documentar

2013

1 Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 Operación

Clausulas y Requisitos

Versión 2005 Versión 2013

Requisitos 102 130

Clausulas De la 4 a la 8 De la 4 a la 10

•

Se reorganiza el número de clausulas

•

Se crean nuevas secciones

Dominios y Controles

Versión 2005 Versión 2013

•

Los cambios en los controles siguen a la ISO/IEC

27002:2013

•

Controles: se mantienen 94, eliminados 39, se

incorporan 20

Las organizaciones deben “determinar” los controles

necesarios, para el tratamiento de riesgos. Afín de no

olvidar ningún control importante, los controles

seleccionados, deben compararse con el Anexo A.

Dominios de Seguridad

11

D

om

ini

os

de

Seg

ur

ida

d

A.5

_{Políticas de seguridad de la información}

A.6

Organización de la seguridad de la información

A.7

Gestión de activos (AI)

A.8

Seguridad de los recursos humanos

A.9

Seguridad física y del entorno

A.10

_{Gestión de comunicaciones y operaciones}

A.11

_{Control de acceso (Lógico)}

A.12

_{Adquisición, desarrollo y mantenimiento de sistemas}

A.13

_{Gestión de incidentes de seguridad de información}

A.14

Gestión de la continuidad de negocio

A.15

Conformidad

Dominios de Seguridad

D

omi

ni

os

de S

eg

urida

d

.

A.5

_{Políticas de seguridad de la información}

A.6

_{Organización de la seguridad de la información}

A.7

_{Seguridad de los recursos humanos}

A.8

_{Gestión de activos}

A.9

Control de accesos

A.10

Criptografía

A.11

Seguridad física y ambiental

A.12

Seguridad en las operaciones

A.13

_{Seguridad en las comunicaciones}

A.14

_{Adquisición, desarrollo y mantenimiento de sistemas}

A.15

_{Relación con proveedores}

Conclusiones

•

Facilita la integración de Sistemas de Gestión

•

Aparece un vocabulario homogéneo

•

Facilita la auditoría

•

Mayor compromiso de la dirección “liderazgo

del proceso”

•

Mejora en la gestión de riegos (Gestión de

Riesgos Estratégica)

ISO/IEC 27001:2013 para

•

Enfrentar la ciber-delincuencia y proteger el

negocio.

•

Recuperarse de desastres

•

Minimización del riesgo al que se ve expuesta la

información

•

Mejorar el gobierno corporativo Reduciendo la

exposición financiera resultante de fallas en las

TICs.

•

Alineamiento la Gestión de Riesgos de TI con las

Oscar Giudice

Tecno

Integración

Más de 30 años de experiencia en electro-tecnologías:

_{Informática, Telecomunicaciones, Electrónica}

Actividad Actual • Responsable de Infraestructura TIC en DINAMA - MVOTMA (Dirección Nacional de Medio Ambiente del Uruguay)

• Director de TecnoIntegración

Áreas de expertise • Seguridad de la Información

• Bussines Continuity & Disaster recovery

• Infraestructura TICs

Países de operación • Argentina y Uruguay

Asociaciones • Director CCAT-Lat

(asociación civil internacional sin fines de lucro)

• Vicepresidente ISSA Capítulo Uruguay (2012-2014)

(Information Systems Security Association)

• Miembro del Comité de Seguridad de la Información

Instituto Uruguayo de Normas Técnicas (UNIT)

• IEEE Sección Argentina - 1990 al 1992

(Institute of Electrical and Electronics Engineers)

• COPITEC Matrícula Nro. T-2479