Nueva ISO27001:2013

Por fin tenemos disponible la nueva versión de la 27001. Está versión 2013 incluye bastantes cambios y el propósito de este post es echarles una ojeada de alto nivel a las principales novedades.

En primer lugar, la nueva versión se adapta al Anexo SL de ISO. Esto significa, que la distribución de apartados y fases de la norma será extremadamente similar con el resto de normas que también se están adaptando a este anexo. En la práctica, lo que se propone es que las organizaciones puedan contar con un único marco de gestión común en el que se encuentren integradas las diferentes ISO que tengan implementadas.

A continuación listaremos otros cambios significativos introducidos por la nueva versión:

• La definición del contexto pasará a tener una importancia clave como inicio de la planificación del SGSI. 
• Aparece una nueva cláusula específica para tratar del Liderazgo en el SGSI. Por lo tanto, este concepto cobrará especial importancia en las transiciones a la versión de 2013.
• Se elimina el concepto de acciones preventivas siendo sustituido por el de gestión de riesgos y oportunidades.
• Se referencia la ISO31000 como marco de gestión de riesgos, por lo que, alineado con el anexo SL, se busca que la gestión de riesgos también sea homogénea a nivel corporativo. De esta manera las organizaciones podrán comparar riesgos de diferentes tipologías (de la información, riesgos laborales, riesgos financieros, etc..).
• El hecho de alinearse con la ISO31000 provoca a su vez que los requisitos del análisis de riesgos sean más genéricos y con menor detalle que los que se definínan en ISO27001:2005 e ISO27005. El propósito es facilitar la realización de análisis de riesgos en otros sistemas de gestión que hasta la fecha no lo incorporan (como la gestión medioambiental, la de calidad o la de servicios TI).
• Los objetivos de seguridad deberán ser aprobados por negocio y se deberán destinar los recursos necesarios para su consecución. Se realizará especial hincapié en este aspecto, por lo que la asignación de recursos deberá quedar debidamente evidenciada.
• Aparece un concepto nuevo de gran importancia que será el de comunicación a las partes interesadas.
• Otro cambio relevante es que se abandona el concepto de propietario del activo y se reemplaza por propietario del riesgo.
• Se pasa de los 133 controles del anexo A a 114 controles. En realidad no se eliminan controles, tan sólo se procede a una reordenación reformulando buena parte de ellos.

La nueva versión mantiene el esquema PDCA. La distribución de cláusulas en el esquema será la siguiente (cabe señalar que la estructura es idéntica para todas las ISO que van adoptando el anexo SL):

PLAN

• Cláusula 4 Contexto: En la nueva versión cobra una importancia capital definir adecuadamente el contexto, tanto interno como externo de la organización. Es decir, tener bien presente el ecosistema en el que nos movemos para que el resto de decisiones que se adopten en el SGSI hayan considerado adecuadamente la realidad actual. Además, el concepto de contexto se alinea perfectamente con el de la ISO31000 en cuanto a definición del contexto en el que se debe realizar en análisis de riesgos.
• Cláusula 5 Liderazgo: Como hemos comentado con anterioridad, se trata de una cláusula totalmente nueva. En esta nueva versión la definición de liderazgo y responsabilidades será central, con el objetivo de garantizar que se destinan los recursos necesarios para garantizar la consecución de los objetivos definidos.
• Cláusula 6  Planificación: En esta cláusula se definen los requisitos de realizar un análisis de riesgos usando la ISO31000 como marco de referencia y se definen los requisitos a cumplir en cuanto a definición de objetivos y su planificación. La declaración de aplicabilidad se mantiene sin apenas cambios.
• Cláusula 7 Soporte/Apoyo: En esta cláusula se definen los requisitos en cuanto a formación, asignación de recursos, concienciación, comunicación y gestión documental. Además, se exigirá que las tareas de mantenimiento del SGSI se deban realizar de forma distribuida durante el año. Así mismo, como hemos comentado antes, se da gran importancia a la gestión de la comunicación a las partes interesadas, debiendo definirse qué se debe comunicar, a quien se de comunicar y cómo se debe comunicar.

DO

• Cláusula 8: Esta es la cláusula del anexo SL que más cambiará para cada ISO ya que el DO de la 27001 será totalmente diferente al DO de la ISO de gestión medioambiental, de calidad o cualquier otra ISO. En esta cláusula es donde, en base a la declaración de aplicabilidad realizada se deberá llevar a cabo la implantación de los controles pertinentes.

CHECK

• Cláusula 9: La cláusula novena definirá los requisitos en cuanto a métricas e indicadores del SGSI. En esta nueva versión se refuerza la exigencia en cuanto a definición e implantación de métricas.

ACT

• Cláusula 10: La última cláusula pone el foco en la mejora continua. En este aspecto, los cambios respecto a la versión 27001:2005 son mínimos.

En conclusión, aunque sigue siendo la ISO27001, su adaptación al anexo SL y los cambios incluidos en la nueva versión van a exigir un esfuerzo importante de adaptación a realizar en 2014 por parte de las empresas que quieran mantener su certificación. Después de esta primera revisión a alto nivel de las novedades que incluye la ISO estoy convencido que los cambios son a mejor y que redundarán en una mejora de la eficiencia de los SGSI que utilicen esta norma como base para su implementación.


twitter: @omarbenjumea
linkedin: http://www.linkedin.com/in/omarbenjumea