la nueva norma iso/iec 27001

FORUM CALIDAD
Nº 2ß6– Noviem;K>ÝÛÜÞ
LA NUEVA NORMA
ISO/IEC 27001:
MÁS PESO DE LA SEGURIDAD
DE LA INFORMACIÓN
EN LA GESTIÓN GENERAL
DE LAS EMPRESAS
PALOMA GARCÍA
Jefe de Desarrollo de Negocio
Dirección de Normalización de AENOR
FORUM CALIDAD 246
CALIDAD
La Organización
Internacional de
Normalización (ISO)
ha publicado las
nuevas versiones de
las normas
internacionales
ISO/IEC 27001 e
ISO/IEC 27002, el
referente para la
implantación de los
Sistemas de Gestión
de Seguridad de la
Información (SGSI).
Las nuevas Normas
internacionales se
basan, entre otros,
en dos pilares:
alineación con otros
sistemas de gestión,
para contribuir a la
gestión integral y al
buen gobierno de
una organización; y la
concepción del SGSI
como un sistema de
gestión de riesgos.
FORUM CALIDAD 246
13
14
MODELO 27001
E
n los últimos años ha sido
un objetivo de estrategia
empresarial el integrar la
gestión de la Calidad, el
medio ambiente y la seguridad y
salud en el trabajo. Objetivo alcanza9
do, entran en escena otros “aspec9
tos” a gestionar y que se están con9
virtiendo en puntos clave para los
modelos de negocio actuales.
Cada vez toma más cuerpo la ges9
tión de riesgos como base para la
toma de decisiones y a la vez se
procura una gestión integral de los
mismos y en definitiva una gestión
global del negocio. Se busca la
excelencia en el desempeño de la
empresa.
Abriéndose camino entre los dife9
rentes aspectos a gestionar en una
organización está la “información”,
es decir, todos aquellos datos que
desde algún punto de vista se consi9
dera necesario “controlar”, ya sea
por obligación legislativa, por ser de
interés para terceros o bien por ser
esenciales para la actividad y estra9
tegia de la organización.
Este año contamos con la publicación
de las nuevas versiones de las nor9
mas internacionales ISO/IEC 27001 e
ISO/IEC 27002 publicadas el pasado
mes de septiembre por la Organiza9
FORUM CALIDAD 246
ción Internacional de Normalización
(ISO) y que son el referente para la
implantación, auditoría y certifica9
ción de las ya muy conocidas siglas
SGSI (Sistema de Gestión de la Segu9
ridad de la Información), equivalen9
tes a ISMS (Information Security
Management System) en inglés.
Junto a una serie de novedades
derivadas de la experiencia adquiri9
da de la puesta en práctica de la
versión del 2005, junto a una nece9
sidad de adaptarse a cambios tanto
culturales como tecnológicos en los
últimos años, dos son los pilares
sobre los que se asienta el actual
modelo SGSI:
v Alineación con otros sistemas de
gestión, para contribuir a la ges9
tión integral y en definitiva al
buen gobierno de una organiza9
ción.
v Concepción del SGSI como un sis9
tema de gestión de riesgos.
Posteriormente ahondaremos en
los cambios principales de la nueva
versión de la ISO/IEC 27001 con
respecto a la versión de 2005, pero
es importante comenzar por uno
de los argumentos que propiciaron
su revisión: la integración del SGSI
con otros sistemas de gestión
empresarial.
Adaptándose a los tiempos que
corren, no podemos tener en una
misma empresa, muchos sistemas
de gestión que funcionen de manera
aislada, por mucho que contemos
con especialistas en diferentes
áreas.
Desde los organismos de normaliza9
ción, siendo conscientes de esta
necesidad se ha estado trabajando
en este nuevo enfoque. Como pri9
mera premisa, actualmente el desa9
rrollo de un nuevo modelo de ges9
tión bajo norma ISO requiere una
rigurosa justificación y debe ser
aprobado por los órganos de gobier9
no del organismo internacional de
normalización. Un avance significati9
vo en este sentido han sido los
acuerdos internacionales en cuanto
a la estructura y contenidos de las
normas que contienen un sistema
de gestión, recogido en el Anexo SL
de las Directivas del Organización
Internacional de Normalización
(ISO), así como los anexos compara9
tivos entre los diferentes sistemas
de gestión que deben incluirse en
cada norma.
En lo que respecta a la auditoría de
los sistemas de gestión, en marzo de
2012 se publicó la norma UNE9EN
ISO 19011, que bajo el título de
“Directrices para la auditoría de los
sistemas de gestión” proporciona
directrices aplicables a los principios
y programas, así como respecto a la
competencia de aquellos que partici9
pan en un proceso de auditoría. Esta
norma amplía su alcance a todo sis9
tema de gestión, puesto que la ver9
sión anterior de 2002 aplicaba solo a
calidad y medio ambiente. Se intro9
duce el concepto de “riesgo” y el
principio de confidencialidad.
CALIDAD
auditores en la disciplina específica
de gestión de la seguridad de la
información, mencionando entre
otros, conocimientos en:
v Evaluación del riesgo (identifica9
ción, análisis y evaluación) y ten9
dencias en tecnología, amenazas
y vulnerabilidades.
v Métodos y prácticas para los
controles físicos y electrónicos
de la seguridad de la informa9
ción.
v Leyes y reglamentos aplicables
Con objeto de fortalecer el proceso
de determinación y evaluación de
competencias se ha desarrollado un
capítulo de competencias y evalua9
ción de auditores común a cualquier
disciplina, si bien se recomienda que
se complemente con conocimientos
y habilidades específicas cuando así
se requiera.
El apartado A.7 de esta norma pre9
senta un ejemplo de conocimientos
y habilidades recomendados para los
(por ejemplo, propiedad intelec9
tual, protección y retención de
registros de la organización,
reglamentos de controles crip9
tográficos, interceptación de
telecomunicaciones, recopilación
de evidencias electrónicas, ensa9
yos de vulnerabilidad...).
FORUM CALIDAD 246
15
16
MODELO 27001
Como respuesta y garantía al merca9
do, también se ha conseguido acor9
dar e integrar a nivel internacional
en una única norma, los requisitos
para los organismos que realizan la
auditoría y la certificación de siste9
mas de gestión, que es el contenido
UNE9EN ISO/IEC 17021 publicada por
AENOR en el año 2011
Una de las integraciones más
demandadas es la de ISO/IEC 27001
(seguridad, SGSI) con ISO/IEC 200009
1 (servicios, SGSTI). Directrices al
respecto se proporcionan en la
Norma ISO/IEC27013:2012 “Directri9
ces para la implantación integrada
de ISO/IEC 27001 e ISO/IEC 200009
1”. Esta norma sirve tanto para inte9
grar ambos sistemas de gestión
cuando ambos ya existen como para
implantar uno de ellos aprovechan9
do la existencia del otro, e incluso
para la implantación inicial conjunta
de ambos. El objetivo es implantar
un sistema de gestión integrada que
tenga en cuenta tanto los servicios
prestados, como la protección de los
activos de información.
EL NUEVO SISTEMA DE
GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
La implantación del SGSI se basa en
una serie de objetivos de control
derivados de la aplicación de una
serie de controles que se establecen
en la Norma ISO/IEC 27002 y se
reproducen en el Anexo A de la
ISO/IEC 27001. Estos controles tam9
bién han evolucionado desde la
anterior versión, los 133 controles
FORUM CALIDAD 246
originales se reducen a 114 contro
les que se organizan en 14 dominios
de seguridad en lugar de en 11. Este
cambio responde a la eliminación de
algunos controles, la fusión de otros
y la introducción de nuevos contro9
les. No es obligatorio utilizar todos,
pero si es necesaria una justificación
del por qué algunos no se aplican.
14 DOMINIOS DE
SEGURIDAD:
94 controles que se mantienen; 39
controles eliminados y 20 nuevos
controles, entre los que destacan los
de la figura siguiente:
PERÍODO DE
ADAPTACIÓN
En la última reunión plenaria del
comité de AENOR AEN/CTN 71
/SC27 “Técnicas de seguridad”, res9
ponsable del Modelo 27000 en
España, se acordó comenzar el pro9
ceso de adopción de las normas
ISO/IEC 27001 e ISO/IEC 27002 para
su publicación como normas UNE.
Se espera tener disponibles los tex9
tos para su envío a Información
Pública al Boletín Oficial de Estado
a finales de este año con el objetivo
de poder incorporar las normas al
catálogo de AENOR, como entidad
legalmente responsable del desa9
CALIDAD
rrollo de la Normalización en
España, en los primeros meses del
año 2014.
En lo que respecta a la certifica9
ción, ya se puede empezar a
implantar y certificar respecto de la
nueva norma. El proceso será sen9
cillo para las organizaciones y
AENOR, como entidad de referen9
cia en certificación, colaborará en
dicha migración.
Las empresas con un certificado de
AENOR ISO 27001:2005 podrán
seguir renovando dicho reconoci9
miento durante un máximo de 2
años, debiendo transitar a la nueva
norma antes de que venza ese
plazo. Asimismo, se ha establecido
un período de convivencia de un
año para ambas versiones de la
norma, con el objetivo de posibilitar
que las empresas con un grado
avanzado de implantación puedan
certificarse.
Referencias
• ISO/IEC 27001:2013 Tecnología de la Información. Técnicas de seguri9
dad. Sistemas de gestión de la seguridad de la información. Requisitos.
• ISO/IEC 27002:2013 Tecnología de la Información. Técnicas de seguri9
dad. Código de práctica para los controles de seguridad de la infor9
mación .
• ISO/IEC 27013: Tecnología de la Información. Técnicas de seguridad.
Directrices para la implantación integrada de las Normas ISO/IEC
27001 e ISO/IEC 2000091.
• UNE9ISO 31000:2010 Gestión del riesgo. Principios y directrices.
• UNE9ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del
riesgo.
• UNE9EN ISO 19011: 2012 Directrices para la auditoría de los sistemas
de gestión.
• UNE9EN ISO 17021: 2011 Evaluación de la conformidad. Requisitos
para los organismos que realizan la auditoría y la certificación de sis9
temas de gestión.
• UNE9ISO/IEC 2000091: 2011 Tecnología de la información. Gestión del
Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS).
FORUM CALIDAD 246
17