FORUM CALIDAD Nº 2ß6– Noviem;K>ÝÛÜÞ LA NUEVA NORMA ISO/IEC 27001: MÁS PESO DE LA SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN GENERAL DE LAS EMPRESAS PALOMA GARCÍA Jefe de Desarrollo de Negocio Dirección de Normalización de AENOR FORUM CALIDAD 246 CALIDAD La Organización Internacional de Normalización (ISO) ha publicado las nuevas versiones de las normas internacionales ISO/IEC 27001 e ISO/IEC 27002, el referente para la implantación de los Sistemas de Gestión de Seguridad de la Información (SGSI). Las nuevas Normas internacionales se basan, entre otros, en dos pilares: alineación con otros sistemas de gestión, para contribuir a la gestión integral y al buen gobierno de una organización; y la concepción del SGSI como un sistema de gestión de riesgos. FORUM CALIDAD 246 13 14 MODELO 27001 E n los últimos años ha sido un objetivo de estrategia empresarial el integrar la gestión de la Calidad, el medio ambiente y la seguridad y salud en el trabajo. Objetivo alcanza9 do, entran en escena otros “aspec9 tos” a gestionar y que se están con9 virtiendo en puntos clave para los modelos de negocio actuales. Cada vez toma más cuerpo la ges9 tión de riesgos como base para la toma de decisiones y a la vez se procura una gestión integral de los mismos y en definitiva una gestión global del negocio. Se busca la excelencia en el desempeño de la empresa. Abriéndose camino entre los dife9 rentes aspectos a gestionar en una organización está la “información”, es decir, todos aquellos datos que desde algún punto de vista se consi9 dera necesario “controlar”, ya sea por obligación legislativa, por ser de interés para terceros o bien por ser esenciales para la actividad y estra9 tegia de la organización. Este año contamos con la publicación de las nuevas versiones de las nor9 mas internacionales ISO/IEC 27001 e ISO/IEC 27002 publicadas el pasado mes de septiembre por la Organiza9 FORUM CALIDAD 246 ción Internacional de Normalización (ISO) y que son el referente para la implantación, auditoría y certifica9 ción de las ya muy conocidas siglas SGSI (Sistema de Gestión de la Segu9 ridad de la Información), equivalen9 tes a ISMS (Information Security Management System) en inglés. Junto a una serie de novedades derivadas de la experiencia adquiri9 da de la puesta en práctica de la versión del 2005, junto a una nece9 sidad de adaptarse a cambios tanto culturales como tecnológicos en los últimos años, dos son los pilares sobre los que se asienta el actual modelo SGSI: v Alineación con otros sistemas de gestión, para contribuir a la ges9 tión integral y en definitiva al buen gobierno de una organiza9 ción. v Concepción del SGSI como un sis9 tema de gestión de riesgos. Posteriormente ahondaremos en los cambios principales de la nueva versión de la ISO/IEC 27001 con respecto a la versión de 2005, pero es importante comenzar por uno de los argumentos que propiciaron su revisión: la integración del SGSI con otros sistemas de gestión empresarial. Adaptándose a los tiempos que corren, no podemos tener en una misma empresa, muchos sistemas de gestión que funcionen de manera aislada, por mucho que contemos con especialistas en diferentes áreas. Desde los organismos de normaliza9 ción, siendo conscientes de esta necesidad se ha estado trabajando en este nuevo enfoque. Como pri9 mera premisa, actualmente el desa9 rrollo de un nuevo modelo de ges9 tión bajo norma ISO requiere una rigurosa justificación y debe ser aprobado por los órganos de gobier9 no del organismo internacional de normalización. Un avance significati9 vo en este sentido han sido los acuerdos internacionales en cuanto a la estructura y contenidos de las normas que contienen un sistema de gestión, recogido en el Anexo SL de las Directivas del Organización Internacional de Normalización (ISO), así como los anexos compara9 tivos entre los diferentes sistemas de gestión que deben incluirse en cada norma. En lo que respecta a la auditoría de los sistemas de gestión, en marzo de 2012 se publicó la norma UNE9EN ISO 19011, que bajo el título de “Directrices para la auditoría de los sistemas de gestión” proporciona directrices aplicables a los principios y programas, así como respecto a la competencia de aquellos que partici9 pan en un proceso de auditoría. Esta norma amplía su alcance a todo sis9 tema de gestión, puesto que la ver9 sión anterior de 2002 aplicaba solo a calidad y medio ambiente. Se intro9 duce el concepto de “riesgo” y el principio de confidencialidad. CALIDAD auditores en la disciplina específica de gestión de la seguridad de la información, mencionando entre otros, conocimientos en: v Evaluación del riesgo (identifica9 ción, análisis y evaluación) y ten9 dencias en tecnología, amenazas y vulnerabilidades. v Métodos y prácticas para los controles físicos y electrónicos de la seguridad de la informa9 ción. v Leyes y reglamentos aplicables Con objeto de fortalecer el proceso de determinación y evaluación de competencias se ha desarrollado un capítulo de competencias y evalua9 ción de auditores común a cualquier disciplina, si bien se recomienda que se complemente con conocimientos y habilidades específicas cuando así se requiera. El apartado A.7 de esta norma pre9 senta un ejemplo de conocimientos y habilidades recomendados para los (por ejemplo, propiedad intelec9 tual, protección y retención de registros de la organización, reglamentos de controles crip9 tográficos, interceptación de telecomunicaciones, recopilación de evidencias electrónicas, ensa9 yos de vulnerabilidad...). FORUM CALIDAD 246 15 16 MODELO 27001 Como respuesta y garantía al merca9 do, también se ha conseguido acor9 dar e integrar a nivel internacional en una única norma, los requisitos para los organismos que realizan la auditoría y la certificación de siste9 mas de gestión, que es el contenido UNE9EN ISO/IEC 17021 publicada por AENOR en el año 2011 Una de las integraciones más demandadas es la de ISO/IEC 27001 (seguridad, SGSI) con ISO/IEC 200009 1 (servicios, SGSTI). Directrices al respecto se proporcionan en la Norma ISO/IEC27013:2012 “Directri9 ces para la implantación integrada de ISO/IEC 27001 e ISO/IEC 200009 1”. Esta norma sirve tanto para inte9 grar ambos sistemas de gestión cuando ambos ya existen como para implantar uno de ellos aprovechan9 do la existencia del otro, e incluso para la implantación inicial conjunta de ambos. El objetivo es implantar un sistema de gestión integrada que tenga en cuenta tanto los servicios prestados, como la protección de los activos de información. EL NUEVO SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN La implantación del SGSI se basa en una serie de objetivos de control derivados de la aplicación de una serie de controles que se establecen en la Norma ISO/IEC 27002 y se reproducen en el Anexo A de la ISO/IEC 27001. Estos controles tam9 bién han evolucionado desde la anterior versión, los 133 controles FORUM CALIDAD 246 originales se reducen a 114 contro les que se organizan en 14 dominios de seguridad en lugar de en 11. Este cambio responde a la eliminación de algunos controles, la fusión de otros y la introducción de nuevos contro9 les. No es obligatorio utilizar todos, pero si es necesaria una justificación del por qué algunos no se aplican. 14 DOMINIOS DE SEGURIDAD: 94 controles que se mantienen; 39 controles eliminados y 20 nuevos controles, entre los que destacan los de la figura siguiente: PERÍODO DE ADAPTACIÓN En la última reunión plenaria del comité de AENOR AEN/CTN 71 /SC27 “Técnicas de seguridad”, res9 ponsable del Modelo 27000 en España, se acordó comenzar el pro9 ceso de adopción de las normas ISO/IEC 27001 e ISO/IEC 27002 para su publicación como normas UNE. Se espera tener disponibles los tex9 tos para su envío a Información Pública al Boletín Oficial de Estado a finales de este año con el objetivo de poder incorporar las normas al catálogo de AENOR, como entidad legalmente responsable del desa9 CALIDAD rrollo de la Normalización en España, en los primeros meses del año 2014. En lo que respecta a la certifica9 ción, ya se puede empezar a implantar y certificar respecto de la nueva norma. El proceso será sen9 cillo para las organizaciones y AENOR, como entidad de referen9 cia en certificación, colaborará en dicha migración. Las empresas con un certificado de AENOR ISO 27001:2005 podrán seguir renovando dicho reconoci9 miento durante un máximo de 2 años, debiendo transitar a la nueva norma antes de que venza ese plazo. Asimismo, se ha establecido un período de convivencia de un año para ambas versiones de la norma, con el objetivo de posibilitar que las empresas con un grado avanzado de implantación puedan certificarse. Referencias • ISO/IEC 27001:2013 Tecnología de la Información. Técnicas de seguri9 dad. Sistemas de gestión de la seguridad de la información. Requisitos. • ISO/IEC 27002:2013 Tecnología de la Información. Técnicas de seguri9 dad. Código de práctica para los controles de seguridad de la infor9 mación . • ISO/IEC 27013: Tecnología de la Información. Técnicas de seguridad. Directrices para la implantación integrada de las Normas ISO/IEC 27001 e ISO/IEC 2000091. • UNE9ISO 31000:2010 Gestión del riesgo. Principios y directrices. • UNE9ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del riesgo. • UNE9EN ISO 19011: 2012 Directrices para la auditoría de los sistemas de gestión. • UNE9EN ISO 17021: 2011 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sis9 temas de gestión. • UNE9ISO/IEC 2000091: 2011 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). FORUM CALIDAD 246 17