Nou impuls a la seguretat de la informació amb la ISO 27001:2013

29/07/2013
Imagen de la noticia
A finals d’enguany serà presentada la nova versió d’esta norma internacional. Hi ha una gran expectativa sobre les novetats incloses, ja que es tracta de la primera actualització des que es va adoptar l’original d’este estàndard en el 2005. Després de huit anys, hi ha hagut canvis molt significatius, incloent-hi amenaces, vulnerabilitats i riscos.

Fa més de dos anys que es va iniciar este projecte d’actualització que ha comptat amb la participació d’especialistes de més de 60 països. Esta nova versió inclou moltes novetats, tant en l'àmbit del sistema de gestió com en el de controls de seguretat de la informació.

Per a començar, la norma té una nova estructura comuna a totes les normes ISO. Per exemple, la norma ISO 22301:2012 de gestió de la continuïtat del negoci usa la mateixa estructura. Les futures versions de la ISO 9001 i de la ISO 20000 també seran adaptades a esta estructura i facilitaran la interpretació de les diferents normes i la seua implementació conjunta.

Totes les definicions que estaven en la versió de 2005 han sigut eliminades, i aquelles que encara són rellevants, han sigut reubicades en la ISO/IEC 27000. Així, es garantix la coherència dels termes i de les definicions en totes les normes de la família 27000. La secció de la norma ISO/IEC 27001:2005 que menciona “l’enfocament basat en processos”, que inclou el model PDCA (Plan-Do-Check-Act) ha sigut eliminada, ja que ISO reconeix que el requisit realment important és la millora contínua, i per tant, hi ha altres formes, a més del PDCA, igualment vàlides per a complir este requisit.

Un altre canvi, també en introducció, té a veure amb l’orde en què apareixen els requisits en la norma del Sistema de Gestió de la Seguretat de la Informació (SGSI). És a dir, l’orde no ha de ser l’orde en què els requisits han de ser implementats És irrellevant. L’important és que es complisquen tots els requisits una vegada es realitze la implementació completa del SGSI.

En relació amb el Sistema de Gestió, l’edició de 2005 comptava amb 102 requisits obligatoris inclosos en les clàusules de la 4 a la 8. Ara, en la versió de 2013, s’han afegit 28 requisits més, i queden un total de 130 requisits, en les clàusules de la 4 a la 10. També el nombre de clàusules ha sigut reorganitzat, la qual cosa ha implicat la creació de noves seccions.

Per exemple, s’ha inclòs una nova secció sobre la comunicació interna i externa rellevant per al SGSI. No obstant això, s’ha eliminat la clàusula que enumerava tots els documents necessaris per al SGSI. Açò evita la duplicació i producció de documents amb noms específics a excepció del SOA (Statement of Aplicabilitiy), que es manté. Ací es pretén destacar que l’important és el contingut i no el nom del document.

Un altre exemple és la introducció de dos noves clàusules “Entendre l’organització i el seu context” i “Entendre les necessitats i expectatives de les parts interessades” per a determinar el context i l’àmbit del SGSI. A més, ja no cal proporcionar un framework d’objectius, i cal establir els objectius només en nivells i funcions rellevants.

Nou enfocament per a la gestió de riscos

Un dels canvis més importants de la norma és definir un nou enfocament per a l’aplicació del risc, tant en la fase de “planificació” com en la fase “d’operació”. Els requisits d’avaluació de riscos són més genèrics i estan alineats amb la ISO 31000:2009. Per tant, ja no cal identificar els actius, les amenaces i les vulnerabilitats a fi d’identificar els riscos. Si la metodologia d’avaluació de riscos utilitzada en l’organització usa este mètode i funciona, es pot mantindre -no hi ha necessitat de canviar-ho-. No obstant això, hi ha mètodes alternatius, perfectament vàlids que es poden usar si es preferix, que no utilitzen actius, amenaces i/o vulnerabilitats per a identificar els riscos.

També hi ha nous requisits generals que tenen com a objectiu cobrir riscos i no únicament riscos de seguretat de la informació (en la versió de 2005 es tracta este tema amb accions correctives). S’introduïx a més una nova funció en el procés d’avaluació del risc, que és la de risk owner.

Altres canvis han de veure, per exemple, amb la substitució del concepte de “Política del SGSI” per “Política de Seguretat de la Informació” o “Management” per “Top Management”. Hi ha altres conceptes que han quedat obsolets, per exemple “asset” i “rècord”.

Els controls de l’annex A disminuïxen respecte a la versió de 2005, i passen de 133 a un total de 114, és a dir, s’eliminen 19 controls en este annex. No obstant això, a pesar d’esta disminució, l’annex que estava format per 11 dominis, de A.5 a A.15, ha passat a estar format per 14, de A.5 al A.18. En la nova versió s’han separat 2 dominis i s’ha creat un nou sobre “Relacions amb el Proveïdor” en resposta a la popularitat del “Cloud Computing” i als esforços per a protegir les cadenes de subministrament. Esta millora en l’estructura de l’Annex A, té un impacte en la claredat i alineació amb les polítiques, processos i procediments de negoci ja existents.

A més d’haver canviat el nombre de controls, un altre canvi important en l’Annex A té a veure amb la seua aplicació. En la nova versió de la ISO 27001 ja no cal “seleccionar” controls de l’Annex A. En canvi, les organitzacions han de “determinar” quins són els controls necessaris, com a part del tractament de riscos, i comparar eixos controls amb els de l’Annex A, per a garantir que no s’ha oblidat cap control important.

Impacte en les empreses ja certificades

Tots estos canvis tindran impacte en milers d’empreses ja certificades. Quan la ISO/IEC 27001:2013 siga oficialment publicada, totes les organitzacions, tindran un període de temps (encara per definir, encara que generalment és de dos anys), per a efectuar la transició a la nova versió de la norma. La transició es podrà realitzar en alguna de les auditories anuals de revisió programades, o per mitjà d’una auditoria extraordinària.

Des de l’aprovació inicial de la ISO/IEC 27001 en 2005 el nombre d’empreses registrades i certificades va passar de 5797 a 17850 a finals de l’any 2011. Entre els països amb més empreses certificades en esta norma, es troba Japó, Romania, Xina, Anglaterra, Índia i Itàlia. Espanya compta amb, aproximadament, 650 empreses certificades.

Per a estes empreses ja certificades, es recomana contractar una auditoria interna de migració, que identifique els gaps que l’organització ha de resoldre per a mantindre la conformitat amb la nova versió de la norma i garantir que no es tinguen no conformitats en l’auditoria externa en migrar a la nova versió de la norma.

Impacte en les empreses no certificades

Per a les empreses que estan en fase d’implementació de la norma, però encara no s’han certificat, s’espera que disposen d’un termini d’un any per a certificar-se amb la versió antiga. Després d’este termini, només es podran certificar en la versió de 2013.