Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/12/2013
Cómo migrar al nuevo estándar ISO/IEC 27001-2013
En el mes de Octubre fue publicada la ISO 27000:2013, con algunos cambios en esta norma para gestionar la seguridad de la información. A partir de este cambio y de la migración que deben hacer las empresas para adoptar este nuevo estándar, la BSI publicó una guía de transición hacia la ISO 27001:2003, en la que le se compara con su antecesora.
Vale la pena recordar que ISO/IEC 27001:2013 es un conjunto de lineamientos que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estos requisitos describen cual es el comportamiento esperado del Sistema de Gestión una vez que esté en pleno funcionamiento.
La revisión de la familia de normas ISO 27000, no fue solamente sobre la ISO/IEC 27001 también cubrió ISO/IEC 27003 que es una guía de implementación del SGSI; ISO/IEC 27004 con información de acerca del monitoreo y las mediciones sobre el SGSI y la ISO/IEC 27005 con todos los lineamientos para gestión de riesgos de seguridad de la información.
Como parte de esta Guía de Transición se hace una descripción de cada una de las secciones y sus principales cambios. También se dedica una sección a los renovados anexos de ISO/IEC 27001-2013. El Anexo A contiene una referencia a los Controles y los objetivos de control que se derivan de la ISO/IEC 27002:2013. Recordamos que los controles se redujeron de 133 a 114.
Otro de los cambios interesantes en los anexos, es la adopción del Anexo SL que describe los lineamientos para un sistema de gestión genérico; esto es una buena noticia para las organizaciones que operan los sistemas integrados de gestión, es decir, los sistemas de gestión que cumplen con diversas normas, como la ISO 9001 (calidad), ISO 22301 (continuidad del negocio), así como la norma ISO/IEC 27001. Además con al haberse alineado con los principios y las orientaciones dadas en la Norma ISO 31000 (gestión del riesgo), ahora una organización puede aplicar la misma metodología de evaluación de riesgos a través de varias disciplinas.
¿Por dónde empezar la migración?
Un punto razonable para comenzar es haciendo un análisis entre las diferencias existentes entre el SGSI que está implementado en la organización y la nueva versión de la norma. Saber el nivel de cumplimiento puede ser de ayuda, ya que permite identificar las áreas con información documentada existente que es necesario cambiar.
La estrategia de transición puede ir desde modificar la documentación y los procesos para cumplir con los nuevos requerimientos o hacer cambios para mejorar el SGSI de acuerdo a los nuevos planteamientos de la norma. Si bien ambos caminos pueden conducir al cumplimiento de los requerimientos de la norma, lo cual significa la certificación, la cantidad de cambios necesarios influirán en el tiempo para cumplir con los nuevos requisitos.
De nuevo recordamos que seguir al pie de la letra un estándar no garantiza la seguridad de la información. Pero es importante para gestionar la seguridad tener en cuenta los nuevos conceptos y enfoques que tienen estándares como la familia ISO 27000, no en vano es uno de los estándares más implementados en el mundo.