Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001 - 2013-vFINAL
ISO 27001 - 2013-vFINAL
ISO 27001:2013
Javier Cao Avellaneda
Firma, Proyectos y Formacin, S.L. (Espaa)
javier.cao@firma-e.com
Tras unos das de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una
lectura ms reposada y meditada del nuevo estndar y los cambios introducidos solo
puedo decir que esta me gusta mucho el texto de esta versin y que ahora est mejor
enfocada hacia la valoracin del funcionamiento del SGSI por los resultados operativos
relacionados con el cumplimiento de los objetivos de seguridad. Uno empieza con las
buenas sensaciones desde el comienzo cuando ya en la clusula 0 de forma explcita se
inicia diciendo que La adopcin de un SGSI es una decisin estratgica de la
Organizacin. Esta generalizacin de la seguridad como un proceso relevante en la
consecucin de los objetivos de negocio de toda Organizacin se confirma cuando se
indica que la misin del SGSI es preservar la integridad, disponibilidad y confidencialidad
de la informacin aplicando un proceso de gestin del riesgo y generando confianza a
las partes interesadas de que los riesgos son adecuadamente manejados.
En un mundo donde cada vez ms la gestin TI es externalizada o delegadas ciertas
partes a sistemas que no son propiedad de la organizacin, es necesario al menos tener
identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos
proporcionar proteccin de informacin a nuestras partes interesadas (clientes y los
propios departamentos de la Organizacin).
Voy a continuacin a comentar mis impresiones sobre cada una de las clusulas que
forman el cuerpo de la norma tal como indica ahora explcitamente en el apartado
Alcance de la clusula 1. En cualquier caso, el gran cambio estructural de esta norma es
que ya emplea el Anexo SL de ISO/IEC y que las definiciones de trminos se vinculan a la
ISO 27000. Tambin aspectos especficos como la medicin o las metodologas de anlisis
y gestin del riesgo se enlazan con las normas ya existentes de la serie ISO 27000.
cubrir todos los procesos de negocio de la Organizacin y en el caso de ser slo una
parte, tendr como partes interesadas a otras reas que sern clientes de la seguridad.
5
Liderazgo.
Esta clusula rene los requisitos para garantizar que la puesta en marcha del SGSI
efectivamente es un proceso estratgico y establece las directrices de gestin de alto
nivel que deben motivar el funcionamiento del sistema.
5.2
Poltica.
En esta clusula se formaliza ese compromiso de la Direccin obligando a documentar el
segundo de los documentos que constituyen el SGSI, la poltica de seguridad. En esta
reordenacin de la norma, la poltica cobra una vital importancia al ser ahora una
subclusula del Liderazgo y al explicitar de forma clara los contenidos mnimos que su
redaccin debe cubrir. Al menos, debe establecer directrices de gestin respecto a:
1) ser adecuada al propsito de la organizacin.
2) incluir objetivos o proporcionar un marco para establecerlos.
3) incluir compromisos de satisfacer los requisitos aplicables y garantizar la mejora
continua.
6.
Planificacin
Esta clusula secuencia los pasos para la creacin del SGSI en donde es una tarea clave
y principal para la toma de decisiones el proceso de identificacin y anlisis del riesgo.
6.1.
Acciones
para
dirigir
los
riesgos
y
oportunidades.
En la nueva redaccin, la planificacin del SGSI est condicionada por los objetivos
propios de la Organizacin, los requisitos identificados en la clusula 4 y el propio anlisis
de los riesgos. La organizacin debe planificar el SGSI para determinar los riesgos y
oportunidades que le permita:
A) asegurar que el SGSI logra los resultados.
B) prevenir o reducir los efectos no deseados.
C) lograr la mejora continua.
De nuevo vemos la importancia de lograr el cumplimiento de las metas como un factor
determinante para valorar la salud del SGSI.
En relacin al proceso de identificacin y anlisis del riesgo destacan los siguientes
aspectos:
1) Se deben identificar los riesgos estimando las posibles prdidas potenciales de
confidencialidad, integridad y disponibilidad dentro del alcance del SGSI.
2) Identificar los propietarios de dichos riesgos. Esto es una importante novedad
dado que en muchos casos, los riesgos del rea TI pueden no tener ya como
dueo al personal de tecnologa si como impacto acumulado afecta a procesos
de negocio. Es decir, si quien sufre las consecuencias ante determinada amenaza
es un rea de la organizacin, el dueo del riesgo ser el responsable de dicha
rea aunque para su mitigacin deba contar con la ayuda del rea tcnica que
mejore la robustez u operatividad de un determinado servicio TI.
3) Analizar las potenciales consecuencias en el caso de que los riesgos se
materializaran ya determinan unas probabilidades realistas definiendo unos niveles
de riesgo.
4) Evaluar los riesgos identificados comparando los resultados obtenidos con los
criterios de nivel de riesgo aceptable preestablecidos.
5) Priorizar en un plan las acciones a realizar para reconducir la situacin.
En relacin al proceso de tratamiento del riesgo destacan los siguientes aspectos en
relacin al contenido del plan:
1) Seleccionar la opcin del riesgo ms adecuada (Aceptar, reducir, evitar o
transferir).
2) Determinar que controles son necesarios segn las opciones de riesgo
establecidas.
3) Comparar esos controles con los del anexo A para no olvidar ni omitir ninguno.
4) Realizar una declaracin de aplicabilidad
5) Elaborar una planificacin de implantacin.
6) Obtener de los propietarios del riesgo una aprobacin formal de los niveles de
riesgo residuales, es decir, contar con el visto bueno de todos aquellos
responsables que podran tener problemas de seguridad respecto del conjunto de
acciones que se quieren poner en marcha para que las consideren suficientes o
para que decidan incluir ms mecanismos de proteccin.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported
License.
7.
Soporte
Esta clusula establece qu medios sern necesarios en la puesta en marcha del SGSI. En
este sentido adems de identificar las necesidades materiales se insiste tambin en la
importancia de las personas y de sus capacidades tcnicas siendo necesaria la
formacin y la concienciacin para garantizar que son las adecuadas.
Adems se especifican los requisitos generales que debe garantizar el sistema en relacin
a la documentacin que forma parte del mismo y al proceso de gestin respecto a los
cambios o actualizaciones necesarios para ir mantenindolo vigente.
7.1
Recursos.
Cmo es obvio, una decisin estratgica de este calado debe contar con los recursos
necesarios para lograr el buen funcionamiento del SGSI. Los ajustes presupuestarios
podrn influir en las posibles inversiones a realizar y condicionarn el apetito de riesgo
de la organizacin pero en cualquier caso, siempre hay unos mnimos que habr que
asumir como son la dedicacin del personal que vigila y opera el SGSI.
7.2
Competencias.
En relacin al factor humano, el equipo de personas que de soporte al SGSI debe tener
un adecuado nivel de conocimiento o disponer de los recursos para hacer que los logren.
Adems debe quedar evidencia de este proceso de capacitacin.
7.3
Concienciacin.
El personal que trabaja dentro del alcance del SGSI tambin debe ser consciente de la
poltica de seguridad, de su contribucin a la efectividad del sistema y de sus
implicaciones en la resolucin de no conformidades.
7.4
Comunicacin.
Este apartado formaliza las vas de comunicacin dentro del SGSI y determina que
debern identificarse las necesidades internas y externas en materia de comunicacin
sobre la seguridad de la informacin estableciendo:
A) que debe comunicar.
B) cuando debe hacerse.
C) a quien debe hacerse.
D) quien comunicar.
E) como la comunicacin ser transportada o que medios se utilizarn.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported
License.
7.5
Documentacin.
En esta subclusula se definen los requisitos generales para el control de la
documentacin del sistema. Cabe destacar que en esta versin se introduce como
novedad que sea el criterio de la propia organizacin el que establezca sus propias
necesidades de documentacin siempre que ello garantice la efectividad del sistema. En
cualquier caso, hay unos mnimos formalizados que son exigidos por las propias clusulas
del estndar que tendrn que estar formalizados. Los factores que pueden condicionar el
nivel de documentacin podran ser:
a) su tamao, tipo de actividades, productos y servicios.
b) la complejidad de sus procesos y sus interacciones.
c) la competencia de las personas.
En lneas generales, el proceso de gestin de documentacin no cambia mucho
respecto a los requisitos anteriores. Se tiene que la documentacin:
A) se identifica y describe.
B) identifica el formato y el medio.
C) es revisada para mantenerla en vigor y actualizada.
La documentacin requerida por el SGSI deber estar controlada para asegurar:
A) est accesible y adecuada para su uso cundo y dnde sea necesario.
B) est adecuadamente protegida.
C) se controlan los cambios.
D) se garantizan los periodos de retencin y conservacin.
Adems deber definirse como se gestiona el ciclo de vida de la documentacin:
creacin, distribucin, acceso, uso, almacenamiento y destruccin. La documentacin
de origen externo que se determine necesaria para la planificacin y operacin del SGSI
deber tambin ser identificada, apropiada y controlada.
8.
Operacin.
Esta clusula determina cmo se garantiza el funcionamiento del SGSI una vez ha
completado su fase de construccin y entra en los diferentes ciclos PDCA en aos
sucesivos.
8.1.
Planificacin
operativa
y
control.
Para ello, en esta subclusula se determina que la organizacin deber planificar,
implementar y controlar los procesos necesarios para garantizar los requisitos e
implementar las acciones necesarias para la gestin del riesgo (6.1). La organizacin
deber implementar los planes para alcanzar los objetivos de seguridad propuestos (6.2).
La organizacin mantendr registro para tener la necesaria confianza de que los
procesos del SGSI siguen siendo bien gestionados segn lo planificado o debe modificar
controles planificados y revisar las consecuencias de los cambios no intencionados para
mitigar cualquier efecto adverso cuando sea necesario.
La organizacin deber asegurar que los procesos externalizados estn definidos y
controlados.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported
License.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported
License.
10.
Mejora
Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas que no
funcionan de forma adecuada son documentadas para aplicar acciones de correccin
que mitiguen tanto las consecuencias directas como las causas que las ocasionan.