Agustín Palomo ECIXPor Agustín Palomo Vera, Consultor del Área Governance, Risks & Compliance de ECIX

A principios de Octubre de 2013 se publicaban las normas ISO 27001:2013 – Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.- e ISO 27002:2013, – Tecnología de la información – Técnicas de seguridad – Código de conducta para los controles de seguridad de la información da pautas sobre el uso de ISO 27001 para las normas de seguridad de información de la organización y la gestión de seguridad de la información.-resultado de la revisión realizada del estándar del año 2005.

En este artículo profundizamos en los principales pasos que las organizaciones ya certificadas en la norma ISO 27001:2005 deben dar para adecuarse a la nueva norma así como los principales retos a los que se enfrentan.

¿Cuándo empezar con la adecuación?

Cada organización tiene sus ritmos y cada sistema de gestión tiene su madurez, no hay prisa en adecuar los sistemas de gestión, pero debemos tener presente que cualquier cambio que introduzcamos en el sistema de gestión deberíamos hacerlo pensando en los requisitos de 2013, que serán los que a medio plazo deberemos cubrir. Por tanto es recomendable que cualquier cambio que se realice en el sistema de gestión se haga con un ojo puesto en la nueva versión.

Es importante tener en cuenta las siguientes fechas:

• Hasta 1 de Octubre 2014 se permitían certificaciones en ISO 27001:2005
• A partir de 1 de Octubre 2014 sólo se permitían nuevas certificaciones en ISO 27001:2013
• A partir de 1 de Octubre 2015 los certificados en ISO 27001:2005 no actualizados en algún seguimiento a versión 2013 quedarán caducados.

El punto de partida debe ser ejecutar un GAP que permita posteriormente establecer un plan detallado de adecuación. Este plan de trabajo basado en el mantenimiento y la mejora continua de nuestro sistema deberá establecer en cada hito establecido de mantenimiento qué debe hacerse para adecuar nuestro sistema de gestión a nuevos requisitos. Es decir, nuestro plan de trabajo anual, deberá por cada hito contemplar si la nueva norma exige o no hacer cambios e incluir como tareas de nuestro mantenimiento el cumplimiento de los nuevos requisitos.

El resultado del GAP y su correspondiente plan de proyectos deberá ser presentado a la dirección y con su aprobación emprender el reto de adecuar el sistema.

¿Qué debo cambiar?

Básicamente encontramos dos aspectos asociados a los cambios, los de gestión y los aspectos más tecnológicos. Los nuevos cambios exigen sobre todo cambios en la capa de gestión del sistema de gestión. A priori no será necesario hacer grandes cambios en tecnología pues no es el espíritu de la revisión.

1. Las partes interesadas

Es uno de los conceptos novedosos. Identificar las partes interesadas nos lleva a establecer los requisitos de éstas (accionistas, clientes, socios, otras áreas del negocio, etc…) que puedan ser relevantes para el sistema gestión. En este caso lo ideal es contemplar estos requisitos como inputs para los objetivos de nuestro sistema de gestión lo que nos permitirá por tanto medir si estos son alcanzados.
Una vez identificados los objetivos deberemos abordar el reto de contemplar si nuestro alcance contempla los nuevos requisitos exigidos para su establecimiento. Debemos ser capaces de contextualizar el alcance del sistema de gestión en la organización y ser capaces de demostrar el valor del mismo para la organización. No cabe duda de que en función del alcance de cada organización está tarea implicará incluso actualizar el alcance. Puede en definitiva, que esta sea la ocasión de actualizar el alcance con el que no nos encontramos muy satisfechos y es sin duda el momento de mostrar nuestro sistema de gestión al resto de la organización.

2. La importancia de los objetivos

Uno de los cambios más importantes que introduce la norma es el refuerzo de la definición de unos objetivos medibles y que aporten un valor real a la organización. En este sentido es importante considerar la importancia que se otorga igualmente a las responsabilidades de la dirección y es que es la alta dirección quien deberá asegurar el establecimiento de los objetivos, su medición y por últimos la verificación de si estos se alcanzan.

En este sentido, la organización deberá establecer éstos de forma que sean coherentes con la política de seguridad, sean medibles, tengan en cuenta los requisitos y necesidades del SGSI así como los resultados del análisis de riesgos.

Para estos objetivos se deberá determinar cual es el reto que quiere alcanzarse, con qué recursos se emprenderá el reto, quien va a medir, estableciendo el umbral de cumplimiento y como se medirán los resultados.

Se refuerza un apartado de vital importancia y que actualmente en muchos casos no era adecuadamente tratado en muchos SGSI. El funcionamiento del SGSI debe estar guiado por un cuadro general de indicadores que verifican el estado de situación de los objetivos y nos indican su cumplimiento, su tendencia y los márgenes de reacción cuando las cosas no vayan bien.

3. ¿Qué hago con mis riesgos?

Una vez desarrollado el GAP de requisitos de la 27001:2013 respecto a nuestro sistema de gestión que apuntábamos mas arriba y ajustado el mismo a los nuevos requisitos, es el momento idóneo para actualizar y revisar nuestros riesgos. La obligatoriedad de identificar activos, amenazas y vulnerabilidades ha desaparecido, pero nada en la norma nos impide seguir identificando estos. Esta flexibilización nos permitirá el empleo de otras metodologías para identificar nuestros riesgos siempre que se ajusten a los requisitos mínimos exigidos por la norma, identificar consecuencias, probabilidades y riesgos, tres términos con los que estamos ya muy acostumbrados a lidiar.

Un nuevo requisito es la identificación de los propietarios de los riesgos, no debemos confundir este punto con el propietario de los activos. El “risk owner” es el responsable en última instancia de aprobar qué acciones se van a emprender para la gestión de “su” riesgo. Puede que en ocasiones sea el propietario del activo o el propietario de la información para la que determinado activo da soporte.

Una vez obtenido el informe de riesgos deberemos desarrollar el plan de gestión del riesgo pertinente, esto nos exigirá el desarrollo de un nuevo SoA, nuevo porque los controles se han modificado y por tanto deberemos desarrollar una nueva declaración de aplicabilidad.

¿Qué pasa con los riesgos que ya estoy gestionando?

En los casos en los que se identifiquen riesgos que ya están siendo gestionados con un plan de gestión deberemos trazar la relación entre los controles de la antigua y la nueva norma. De este modo, podemos incluso referenciar los controles de la nueva norma en relación a los de la 27001:2005 para no perder la trazabilidad de las actividades que se emprendieron en el pasado para la gestión de los riesgos del sistema de gestión.

Mi control…¿Dónde está?

En caso de que uno de los controles que estoy gestionando haya desaparecido en el nuevo Anexo A, con independencia de que este control ya no exista en la nueva versión de la norma, podremos seguir gestionando nuestro riesgo mediante la implantación del control.

4. El marco documental

El cuerpo documental requerido en la versión de 2005 en el apartado 4.3 ha desaparecido por tanto las exigencias como tal de disponer de determinados procedimientos documentados ha desaparecido. Esto, como es obvio, no nos obliga a eliminar los documentos que ya tenemos, pero si nos permitirá simplificar o unir documentos que podamos tener dispersos.

5. Medir, medir y medir

Si bien las métricas de seguridad eran un aspecto importante dentro de los sistemas de gestión basados en la norma ISO 27001, con la versión de 2013 se han aumentado los requisitos de monitorización y medida a procesos de seguridad y controles. Debemos ser capaces de medir la eficacia y efectividad, en definitiva, de comprobar el rendimiento de nuestros controles. Además será necesario definir: qué será medido, los métodos, cuándo y quién medirá, y quién y cuándo evaluará los resultados.

Conclusiones

La nueva norma introduce importantes novedades que deben ser contempladas por las organizaciones cuando decidan hacer la adecuación a la versión de 2013. Los cambios no deberían ser traumáticos para las organizaciones certificadas, pues introducen aspectos que en muchas ocasiones ya son tratados por la cultura de las organizaciones.

Los primeros pasos a dar deben ser identificar el esfuerzo necesario para adecuar el sistema, para lo que el desarrollo de un GAP es fundamental, en base al resultado del mismo, seremos capaces de conocer en detalle el camino para adecuar el sistema.

Por último, indicar que a través de VLEX, Ecix realizó un webinar donde se profundizaba en los principales cambios de la nueva norma respecto a su antecesora (clic para ver el webinar).

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.