Guía de Transición_ISO27001

Gua deTransicin

Pasando de ISO/IEC 27001:2005a ISO/IEC 27001:2013

El nuevo estndar internacional para los sistemas de gestin

de seguridad de la informacin

Los negocios exitosos entienden el valor de la informacin oportuna y precisa, de las buenas comunicaciones y de la discrecin. La seguridad de la informacin se trata tanto de explotar las oportunidades de nuestro mundo interconectado as como de la gestin de riesgos.

Es por ello que las organizaciones necesitan una gestin robusta de seguridad de la informacin.

Esta gua ha sido diseada para ayudarle a co-nocer los requerimientos del nuevo estndar internacional para la gestin de la seguridad de la informacin ISO/IEC 27001:2013, el cual es la primera revisin de ISO/IEC 27001:2005.

ISO/IEC 27001:2013 especifica los requerimientos para establecer, implementar, mantener y mejorar continuamente un sistema de gestin de seguri-dad de la informacin (SGSI) para cualquier orga-nizacin sin importar su tipo o tamao. BSI reco-mienda que cada organizacin tenga un sistema implementado para mantener la confidencialidad, integridad y disponibilidad de la informacin. Esto deber incluir su propia informacin as como la informacin de sus clientes y de otras partes interesadas. En un mundo cada vez ms interco-nectado no debe sobre estimarse hacerlo.

Conocer los requerimientos del nuevo estndar internacional nunca fue ms fcil. Esta gua est basada en el nuevo libro de David Brewer An in-troduction to ISO/IEC 27001:2013, que comparte una gua prctica sobre cmo lograr los reque-rimientos de ISO/IEC 27001:2013 y en Unders-tanding the new ISO management system requi-

rements, que hace la revisin de un sistema de gestin en general y cmo hacer la transicin de este a nuevos estndares. Estos libros se encuen-tran disponibles en BSI Shop.

Esta gua de transicin le ayudar a comprender la relacin entre ISO/IEC 27001:2013 y su prede-cesora ISO/IEC 27001:2005, as como el impacto que el nuevo estndar tendr en su SGSI existen-te.

Nota. Esta gua de transicin est diseada para leerse en conjunto con BS ISO/IEC 27001:2013 Information Technology Security techniques Information Security management systems Re-quirements. No contiene el contenido completo del estndar y no debe utilizarse como fuente principal de referencia en lugar del estndar.

ISO/IEC 27001 Gestin de Seguridad de la Informacin Gua de Transicin

Existen varias razones por las que las organizaciones eligen tener un sistema de gestin de seguridad de la informacin (SGSI). Estas generalidades se ajustan a dos categoras: garanta del mercado y gobernabili-dad. La garanta del mercado se refiere a la habilidad de un SGSI para proveer confianza dentro del mer-cado, en la capacidad de una organizacin para cuidar de la informacin de forma segura. En particular, inspirar la confianza de que la organizacin mantendr la confidencialidad, integridad y disponibilidad de la informacin del cliente. La gobernabilidad se refiere a como son gestionadas las organizaciones. En este caso, un SGSI es reconocido por ser una forma proactiva de gestionar la seguridad de la informacin.

ISO/IEC 27001:2013 especifica los requerimientos para establecer, implementar, mantener y mejorar conti-nuamente un SGSI. Estos requerimientos describen el comportamiento previsto de un SGSI una vez que es completamente operacional. El estndar no es una gua paso a paso sobre cmo construir o crear un SGSI.

Un escenario tpico en el caso de la garanta del merca-do es cuando una compaa demanda varias garantas de sus proveedores para mantenerlos como provee-dores para esa compaa. Lo comn sola ser que esas compaas requirieran a sus proveedores cumplir con ISO 9001, pero ahora las empresas tambin estn buscando garantas de sus proveedores con respecto a ISO/IEC 27001. En este caso, la compaa tendr el deber de preservar la seguridad de la informacin bajo su custodia. Si tal informacin es compartida con un proveedor, entonces la compaa fallar en este deber si el manejo de la informacin por parte del proveedor fuera inseguro. No importa si la empresa opta por hacer esto por razones de gobierno corporativo o garanta del mercado, solo importa lo que haga.

Sin embargo existe una serie de libros y otros estnda-res en la serie ISO/IEC 27000 que le pueden asistir. Hay tres estndares principales:

ISO/IEC 27003: Tecnologa de Informacin Tc-nicas de seguridad Gua de implementacin del sistema de gestin de seguridad de la informacin;

ISO/IEC 27004, Tecnologa de Informacin Tc-nicas de seguridad Gestin de seguridad de la informacin Medidas; y

ISO/IEC 27005, Tecnologa de Informacin Tcni-cas de seguridad Gestin de riesgos de seguridad de la informacin.

Los tres estndares gua se encuentran en revisin y en la actualidad slo se refieren a los requerimientos de ISO/IEC 27001:2005

Como ambas categoras estn cercanamente relaciona-das, una organizacin puede elegir inicialmente tener un SGSI para inspirar confianza dentro del mercado. Una vez que tenga un SGSI, y a medida que madure, el personal de la organizacin a menudo experimentar los beneficios de ser capaz de mejorar la gestin de la seguridad de la informacin. Por lo tanto las razones de la organizacin para tener un SGSI pueden expan-dirse para cubrir tanto la garanta del mercado como el gobierno corporativo. Igualmente, otra organizacin puede iniciar teniendo un SGSI para una mejor gestin. Sin embargo, a medida que su SGSI madure, debe co-municar las experiencias y noticias sobre las auditoras exitosas de certificacin al mercado y conocer el poder de la garanta del mercado para atraer nuevos clientes.

Por qu adoptar un estndar de seguridad de la informacin?

Implementando ISO/IEC 27001

1

2

3



Comparando ISO/IEC 27001:2013 con ISO/IEC 27001:2005

Se han introducido nuevos conceptos ( actualizado) como los siguientes:

Concepto nuevo/actualizado Explicacin

ISO/IEC 27001:2013 es la primera revisin de ISO/IEC 27001. En primer lugar y ante todo la revisin ha tomado en cuenta la experiencia prctica del uso del estndar: actualmente hay 17,000 certificados en el mundo. Sin embargo, ha habido otras dos influencias mayores en la revisin. La primera es un requerimiento de ISO que todo estndar nuevo o revisado debe ajus-tarse a la estructura de alto nivel y debe tener el texto central idntico definido en el Anexo SL de la Parte 1 de las Directrices de ISO/IEC. Conforme a estos requeri-mientos se tendr una tendencia para hacer que todos los estndares de sistemas de gestin luzcan igual, con la intencin de que los requerimientos del sistema de gestin que no son una disciplina especfica sean redactados de la misma manera en todos los estnda-res de sistemas de gestin. Estas son buenas noticias para todas las organizaciones que operan sistemas de gestin integrados, por ejemplo los sistemas de gestin que conforman varios estndares, como ISO 9001 (calidad), ISO 22301 (continuidad del negocio) as como ISO/IEC 27001. La segunda influencia fue una decisin

Contexto de la organizacin Problemas, riesgos y oportunidades Partes interesadas

Liderazgo

Comunicacin

Objetivos de seguridad de la informacin

Evaluacin de riesgos

Propietario de riesgo

Plan de tratamiento de riesgos

Controles

Informacin documentada Evaluacin del desempeo

Mejora continua

El ambiente en el que la organizacin opera

Reemplaza acciones preventivas

Reemplaza accionistas (stakeholders)

Requerimientos especficos para la alta direccin

Hay requerimientos especficos tanto para comunicaciones internas como externas

Los objetivos de seguridad de la informacin ahora se establecen como funcio-nes relevantes y niveles

La identificacin de activos, amenazas y vulnerabilidades ya no es un pre requi-sito para la identificacin de riesgos de seguridad de la informacin

Reemplaza propietario de los activos

La efectividad del plan de tratamiento de riesgos es ahora considerado como ms importante que la efectividad de los controles

Los controles ahora son determinados durante el proceso de tratamiento de riesgos, en lugar de ser seleccionados del Anexo A

Reemplaza documentos y registros

Cubre las mediciones del SGSI y de la efectividad del plan de tratamiento de riesgos

Se pueden utilizar metodologas distintas a Planear-Hacer-Verificar-Actuar (PDCA por sus siglas en ingls)

para alinear ISO/IEC 27001 con los principios y guas dados por ISO 31000 (gestin de riesgos). De nuevo, estas son buenas noticias para los sistemas de gestin integra-dos pues ahora una organizacin puede aplicar la misma metodologa de riesgos a travs de varias disciplinas.

El resultado es que estructuralmente ISO/IEC 27001:2013 luce muy diferente a ISO/IEC 27001:2005. Adems, no hay requerimientos duplicados y estn expresados de una manera que permite mayor libertad de eleccin sobre como implementarlos. Un buen ejemplo de esto es que la identificacin de activos, amenazas y vulnerabilidades no es ms larga que un pre requisito para la identificacin de riesgos para la seguridad de la informacin. El estndar ahora es ms claro en cuanto a que los controles no deben de ser seleccionados del Anexo A, pero son determinados a travs del proceso de tratamiento de riesgos. Sin embargo, el Anexo A contina sirviendo como una verificacin para asegurar que no existen controles necesarios que se hayan pasado por alto.

Clusula 0: IntroduccinEsta clusula es mucho ms corta que su predecesora. En par-ticular la seccin sobre el modelo PDCA ha sido eliminada. La razn para esto es que el requerimiento es para la mejora con-tina (ver Clusula 10) y el PDCA es solo una propuesta para cumplir con este requerimiento. Hay otras propuestas y las organizaciones son ahora libres de utilizarlas si as lo desean.

La introduccin tambin hace nfasis en el orden en el cual sern presentados los requerimientos, estableciendo que el orden no refleja la importancia o implica el orden en el cual sern implementados.

Clusula 1: AlcanceEsta tambin es una clusula mucho ms corta. En particular no hay referencia a la exclusin de controles en el Anexo A.

Clusula 2: Referencias normativasLa nica referencia normativa es ISO/IEC 27000, Tecnologa de informacin Tcnicas de seguridad Sistemas de gestin de seguridad de la informacin Resumen y vocabulario.

Clusula 3: Trminos y definicionesNo hay ningn trmino o definicin en ISO/IEC 27001:2013. En su lugar, los lectores son referidos a ISO/IEC 27000. Sin em-bargo, por favor asegrese de que est utilizando una versin de ISO/IEC 27000 que haya sido publicada posterior a ISO/IEC 27001:2013, de otra manera esta no contendr los trminos y condiciones correctos. Este es un documento importante para leer. Muchas definiciones, por ejemplo sistema de gestin y control han sido cambiados y ahora conforman las definicio-nes dadas en las nuevas directrices de ISO e ISO 31000. Si un trmino no est definido en ISO/IEC 27000, por favor utilice la definicin dada en el Diccionario Ingls Oxford. Esto es im-portante, de otra manera puede resultar en confusin y malos entendidos.

Clusula 4: Contexto de la organizacinEsta es una nueva clusula que en parte direcciona el concep-to depreciado de acciones preventivas y en parte establece el contexto para el SGSI. Cumple con estos objetivos al reunir asuntos relevantes internos y externos (por ejemplo, aquellos que afectan la habilidad de la organizacin para lograr los resultados esperados del SGSI) con los requisitos de las partes interesada para determinar el alcance del SGSI.

Deber notar que el trmino asunto cubre no solo proble-mas, que pueden haber sido el tema de una accin preventiva en el estndar previo, sino tambin temas importantes para direccionar el SGSI, como cualquier garanta del mercado y las metas del gobierno corporativo que la organizacin establezca para su SGSI. Mayor orientacin se da en la Clusula 5.3 de ISO 31000:2009.

Note que el trmino requerimiento es una necesidad o expectativa establecida, generalmente implcita u obligatoria. Combinada con la Clusula 4.2, esto en si mismo puede ser pensado como un requisito del gobierno, en sentido estricto como un SGSI que no se ajusta a las expectativas pblicas generalmente aceptadas y que ahora podra ser gobernado no conforme al estndar.

El requerimiento final (Clusula 4.4) es establecer, implemen-tar, mantener y mejorar continuamente el SGSI de acuerdo con los requerimientos del estndar.

Clusula 5: LiderazgoEsta clusula pone los requerimientos a la alta direccin que es la persona o grupo de personas que dirigen y controlan la organizacin al ms alto nivel. Tenga en cuenta que si la or-ganizacin que es tema del SGSI es parte de un corporativo, entonces el trmino alta direccin se refiere a la organiza-cin pequea. El propsito de este requerimiento es demos-trar el liderazgo y compromiso liderando desde la direccin.

Una responsabilidad particular de la alta direccin es esta-blecer la poltica de seguridad de la informacin, y el estn-dar define las caractersticas y propiedades que la poltica debe incluir.

Finalmente, la clusula establece requerimientos en la alta direccin para asignar responsabilidades y autoridades relevantes a la seguridad de la informacin, destacando dos roles en particular concernientes a la conformidad del SGSI con ISO/IEC 27001 y reportando el desempeo del SGSI.

Clusula 6: PlaneacinClusula 6.1.1, General: Esta clusula trabaja con las Clusu-las 4.1 y 4.2 para completar la nueva forma de trabajar con las acciones preventivas. La primera parte de la clusula (por ejemplo hasta e incluyendo 6.1.1 c)) concierne a evaluacin de riesgos, mientras que la clusula 6.1.1. d) concierne a tratamiento de riesgos.

Clusula 6.1.2, Evaluacin de riesgos de la seguridad de informacin: Esta clusula especficamente concierne a la evaluacin de riesgos de la seguridad de informacin. En ali-neacin con los principios y guas dadas en ISO 31000, esta clusula quita la identificacin de activos, amenazas y vulne-rabilidades como pre requisito de identificacin de riesgos. Esto ampla la eleccin de mtodos de evaluacin de riesgos que una organizacin puede usar y que an conforman el estndar. La clusula tambin ser refiere a los criterios de aceptacin de la evaluacin de riesgos, que permite otros criterios adems de un solo nivel de riesgos. Los criterios de aceptacin de riesgos pueden ser expresados ahora en trminos de otros niveles, por ejemplo, los tipos de control utilizados para el tratamiento de riesgos.

La clusula se refiere a los propietarios del riesgo ms que a los propietarios de los activos y posteriormente (en la Clu-sula 6.1.3 f)) requiere la aprobacin del plan de tratamiento de riesgos y riesgos residuales.

En otros aspectos la clusula se parece mucho a su contra-parte en ISO/IEC 27001:2005 al requerir a las organizacio-nes evaluar las consecuencias, probabilidades y niveles de riesgo.

Clusula 6.1.3, Tratamiento de riesgos de seguridad de la in-formacin: Esta clusula concierne al tratamiento del riesgo de la seguridad de la informacin. Es similar a su contraparte en ISO/IEC 27001:2005, sin embargo, se refiere a la deter-minacin de controles necesarios ms que a la seleccin de controles del Anexo A. Sin embargo, el estndar mantiene el uso del Anexo A como una verificacin para asegurar que un control necesario no se ha pasado por alto y las organizacio-nes son todava requeridas para producir un Enunciado de Aplicabilidad (SOA por sus siglas en ingls). La formulacin y aprobacin del plan de tratamiento de riesgos es ahora parte de esta clusula.

Clusula 6.2, Objetivos de la seguridad de la informacin y planeacin para lograrlos: Esta clusula concierne a los objetivos de seguridad de la informacin. Se utiliza la frase funciones y niveles relevantes, aqu el trmino funcin se refiere a las funciones de la organizacin y el trmino nivel, a sus niveles de gestin, en el que alta direccin es el mayor. La clusula define las propiedades que los objetivos de segu-ridad de la informacin de la organizacin deben poseer.

Clusula 7: SoporteEsta clusula inicia con un requerimiento que las organizacio-nes deben determinar y proveer los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el SGSI. Expresado de forma simple, este es un requerimiento muy poderoso que cubre todas las necesidades de recursos de un SGSI.

La clusula continua con los requerimientos para competen-cia, conocimiento y comunicacin, que son similares a sus contrapartes en ISO/IEC 27001:2005.

Finalmente, existen requerimientos para informacin docu-mentada. La informacin documentada es un trmino nuevo que reemplaza las referencias en el estndar 2005 de docu-mentos y registros. Estos requerimientos estn relacionados con la creacin y actualizacin de informacin documentada y su control. Los requerimientos son similares a sus contra-partes en ISO/IEC 27001:2005 para el control de documen-tos y para el control de registros.

Tenga en cuenta que los requerimientos para la informacin documentada estn presentes en la clusula a la que se refie-ren. No se encuentran resumidos en una clusula para ellos mismos, como lo estaban en ISO/IEC 27001:2005.

Clusula 8: OperacinEsta clusula trata sobre la ejecucin de los planes y proce-sos que son tema en las clusulas anteriores.

Clusula 8.1 trata sobre la ejecucin de acciones determi-nadas en la Clusula 6.1, el logro de los objetivos de segu-ridad de la informacin y los procesos sub contratados;

Clusula 8.2 trata sobre el desempeo de las evalua-ciones de riesgo de la seguridad de la informacin en intervalos planeados, o cuando los cambios significativos son propuestos u ocurren; y

Clusula 8.3 trata sobre la implementacin del plan de tratamiento de riesgos.

1

2

3

Clusula 9: Evaluacin del desempeoClusula 9.1, Monitoreo, medicin, anlisis y evaluacin: El pri-mer prrafo de la Clusula 9.1 establece los objetivos generales de la clusula. Como recomendacin general, determine qu informacin necesita para evaluar el desempeo de la seguri-dad de informacin y la efectividad de su SGSI. Trabajar hacia atrs desde esta necesidad de informacin para determinar qu medir y controlar, cundo, a quin y cmo. No tiene mucho sentido el monitorear y hacer mediciones slo porque su organizacin tiene la capacidad de hacerlas. El seguimiento y la medicin por si apoyan el requisito de evaluar el desempeo de seguridad de la informacin ya la eficacia del SGSI.

Tenga en cuenta que una organizacin puede tener muchas ne-cesidades de informacin, y estas necesidades pueden cambiar con el tiempo. Por ejemplo, cuando un SGSI es relativamente nuevo, puede ser importante solo el monitoreo para supervisar la asistencia a, por as decir, los eventos de concientizacin de seguridad de la informacin. Una vez que la tasa prevista se logra, la organizacin debe ver ms hacia la calidad de un evento de conocimiento. Se debe hacer esto estableciendo objetivos de conocimiento especficos y determinando el grado en que los asistentes han entendido lo aprendido. Ms tarde, la informacin necesita extenderse para determinar que impacto tiene este nivel de conocimiento en la seguridad de la informa-cin de la organizacin.

Clusula 9.2, Auditora interna: Esta clusula es similar a su contraparte en ISO/IEC 27001:2005. Sin embargo, el reque-rimiento tiene gestin responsable para asegurar que las acciones de auditora que se tomen sin demora indebida se han eliminado, ya que estn efectivamente cubiertas por los requerimientos de la Clusula 10.1 (en particular 10.1 a),c) y d)). El requerimiento que los auditores no deben auditar su propio trabajo ha sido tambin eliminado, ya que est cubierto por el requerimiento de asegurar la objetividad e imparcialidad (Clusula 9.2 e)).

Clusula 9.3, Revisin de la gestin: Ms que especificar entradas y salidas especficas, esta clusula ahora ubica los requerimientos sobre los temas para consideracin durante la revisin. El requerimiento para revisiones que tendrn lugar a intervalos determinados permanece pero el requerimiento para mantener las revisiones por lo menos una vez al ao ha sido eliminado.

Clusula 10: MejoraDebido a la nueva forma de manejar las acciones preventivas, no hay requerimientos para las acciones preventivas en esta clusula. Sin embargo, hay algunos requerimientos para las nuevas acciones correctivas. La primera es reaccionar ante las no conformidades y tomar accin, como aplica, para controlar y corregir las no conformidades y trabajar con las consecuen-cias. La segunda es determinar donde existen no conformida-des similares, o donde pueden ocurrir potencialmente. Aunque el concepto de acciones preventivas ha evolucionado an hay una necesidad de considerar las no conformidades potenciales, aunque como una consecuencia de una no conformidad actual. Tambin existe un nuevo requerimiento para asegurar que las acciones correctivas son apropiadas a los efectos de las no conformidades encontradas.

El requerimiento para la mejora continua se ha extendido para cubrir la idoneidad y suficiencia de un SGSI as como su efec-tividad, pero ya no especifica cmo una organizacin puede lograr esto.

Anexo AEl ttulo del Anexo A es ahora objetivos de control de refe-rencia y controles y la introduccin es simplificada. Estable-ce que los objetivos de control y los controles derivan direc-tamente de ISO/IEC 27002:2013 y que el Anexo es utilizado en el contexto de la Clusula 6.1.3.

Durante la revisin de ISO/IEC 27002 el nmero de contro-les ha sido reducido de 133 controles a 114 controles, y el nmero de clusulas mayores ha sido expandido de 11 a 14. Algunos controles son idnticos o muy similares; algunos se han fusionado; algunos han sido eliminados y otros son nuevos. Por ejemplo:

Alcance del SGSI

Poltica de seguridad de la informacin

Proceso de evaluacin de riesgos de seguridad de la informacin

Proceso de tratamiento de riesgos de seguridad de la informacin

Enunciado de aplicabilidad

Objetivos de seguridad de la informacin

Evidencia de competencia

La informacin documentada determinada por la organizacin como siendo necesaria para la efectividad del SGSI

8.1

8.2

8.3

9.1

9.2 g)

9.3

10.1 f)

10.1 g)

Control y planeacin operacional

Resultados de la evaluacin de riesgos de seguridad de la informacin

Resultados del tratamiento de riesgos de seguridad de la informacin

Evidencia de los resultados del monitoreo y mediciones

Evidencia de los programas y resultados de auditora

Evidencia de los resultados de las revisiones de gestin

Evidencia de la naturaleza de las no conformidades y cualquier accin tomada subsecuentemente

Evidencia de los resultados de cualquier accin correctiva

1.3 5.2

6.1.2

6.1.3

6.1.3 d)

6.2

7.2 d)

7.5.1 b)

Los requerimientos para la informacin documentada estn distribuidos en el estndar. Sin embargo, en resumen son:

1

2

3

4

Es importante apreciar que la utilidad de un control para una organizacin no debe cambiar por haber sido este eliminado del Anexo A. De acuerdo con la Clusula 6.1.3, los controles ahora son determinados con las bases del tratamiento de riesgos. Si una organizacin desea tratar riesgos particulares deliberadamente sin conectar una computadora a Internet u otras redes, entonces tendr que utilizar un control como el anterior A.11.6.2 independientemente de si se encuentra en el Anexo A o no.

El Anexo A permanece como un anexo normativo. Esto no es porque el Anexo A contenga requerimientos normativos, sino porque, por las normas ISO, se hace referencia a un requisito normativo, por ejemplo en este caso, las Clusulas 6.1.3 c) y d).

Otros anexosEl Anexo original B, los principios OECD y este estndar inter-nacional, han sido eliminados ya que ahora son una referen-cia antigua, que refiere al PDCA.

El antiguo Anexo C, Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este estndar internacional, tambin han sido eliminados porque ambos estndares han sido revisados y utilizarn la misma estructura de alto nivel e idntico texto principal al de ISO/IEC 27001:2013.

El Anexo B, Bibliografa, de ISO/IEC 27001:2013 es una versin actualizada de su contraparte, el Anexo D en ISO/IEC 27001:2005.

A.5.1.1, las polticas para la seguridad de la informacin son muy similares a las originales A.5.1.1, Documento de Polticas de Seguridad de la informacin.

El anterior A.10.10.1, Registro de Auditora, A.10.10.2, Monitoreo del uso del sistema, y A.10.10.5, Registro de fallas, han sido fusionados para formar el nuevo A.12.4.1, Registro de eventos.

El anterior A.11.6.2, Aislamiento del sistema sensible, ha sido eliminado debido a que en un mundo interconectado, este control interfiere con el objetivo de ser interconec-tado.

A.17.2.1, Disponibilidad de instalaciones de procesamiento de informacin, es un nuevo control.

Informacin documentada

Las siguientes dos tablas ilustran la relacin entre ISO/IEC 27001:2013 e ISO/IEC 27001:2005. La Tabla A trabaja con el cuerpo principal del estndar y la Tabla B con el Anexo A. Estas tablas estn simplifica-das para motivos ilustrativos solamente. Un mapeo de datos ms detallado est disponible como PDF descargable (en idioma ingls) en el sitio web de BSI www.bsigroup.com/27kmapping

Introduccin Alcance

Referencias normativas

Trminos o definiciones

Comprender la organizacin y su contexto

Comprender las necesidades y expectativas de las partes interesadas

Determinar el alcance del sistema de gestin de seguridad de la informacin

Sistema de gestin de seguridad de la informacin

Liderazgo y compromiso

Polticas

Roles organizacionales, responsabilidades y autoridades

Acciones para hacer frente a riesgos y oportunidades general

Evaluacin de riesgos de seguridad de la informacin

0 1

2

3

4.1

4.2

4.3

4.4

5.1

5.2

5.3

6.1.1

6.1.2

0 1

2

3

8.3

5.2.1 (c)

4.2.1 a) 4.2.3 f)

4.1

5.1

4.2.1 b)

5.1 c)

8.3

4.2.1 c)4.2.1 d) 4.2.1 e)

Introduccin

Alcance

Referencias normativas

Trminos o definiciones

Acciones preventivas

Identificar y conducir los requerimientos legales y regulatorios y las obligaciones contractuales de seguridad

Defina el alcance y los lmitesAsegure que el alcance sea adecuado

Requerimientos generales

Compromiso de la direccin

Definir una poltica de SGSI

Establecer roles y responsabilidades para la seguridad de la informacin

Acciones preventivas

Defina el enfoque de la evaluacin de riesgosIdentificar los riesgosAnalizar y evaluar los riesgos

La Tabla A enlista en la columna de la izquierda los ttulos de las clusulas menores en ISO/IEC 27001:2013. Para cada una, la entrada en la columna derecha muestra los ttulos de la clusula en ISO/IEC 27001:2005 que de alguna manera corresponden. Para ver exactamente cul es nuevo y cul ha sido eliminado, por favor consulte el mapeo de datos detallado.

Tablas de mapeo

Tabla A: Mapeo de las clusulas de ISO/IEC 27001:2013 a ISO/IEC 27001:2005

Continua

Tablas de mapeo - continuacin

Tratamiento de riesgos de seguridad de la informacin

Objetivos de seguridad de la informacin y planeacin de los mismos

Recursos

Competencia

Conocimiento

Comunicacin

Informacin documentada

Planeacin operacional y control

Evaluacin de riesgos de seguridad de la informacin

Tratamiento de riesgos de seguridad de la informacin

Monitoreo, medicin, anlisis y evaluacin

Auditora interna

Revisin de la gestin

No conformidades y acciones correctivas

Mejora continuade la informacin

Identifique y evale opciones para el tratamiento de riesgosSeleccionar objetivos de control y controles para el tratamiento de riesgosObtener aprobacin de la direccin sobre los riesgos residuales propuestosPreparar un enunciado de aplicabilidadPreparar un enunciado de aplicabilidadFormular un plan de tratamiento de riesgos

Asegurar los objetivos del SGSI y establecer los planes

Gestin de recursos para el SGSIProvisin de recursos

Capacitacin, conocimiento y competencia

Implementar capacitacin y programas de conoci-mientoCapacitacin, conocimiento y competencia

Comunicar las acciones y mejorasComunicar a la organizacin

Requerimientos de documentacin

Gestionar operaciones del SGSI

Revisar evaluaciones de riesgos en intervalos pla-neados

Implementar el plan de tratamiento de riesgosImplementar controles

Definir como medir la efectividadTomar revisiones regulares de la efectividad del SGSIMedir la efectividad de los controles

Conducir auditoras internas al SGSIAuditoras internas del SGSI

Tomar una revisin de la gestin del SGSIRevisin de la gestin del SGSI

Mantener y mejorar el SGSIAcciones correctivas

Mantener y mejorar el SGSIMejora continua

6.1.3

6.2

7.1

7.2

7.3

7.4

7.5

8.1

8.2

8.3

9.1

9.2

9.3

10.1

10.2

4.2.1 f)

4.2.1 g)

4.2.1 h)

4.2.1 i)4.2.1 j)4.2.2 a)

5.1 b)

4.2.2 g)5.2.1

5.2.2

4.2.2 e)

5.2.2

4.2.45.1 d)

4.3

4.2.2 f)

4.2.3 d)

4.2.2 b)4.2.2 c)

4.2.2 d)4.2.3 b)4.2.3 c)

4.2.3 e)6

4.2.3 f)7

4.2.48.2

4.2.48.1

La Tabla B enlista los grupos de control en el Anexo A para ISO/IEC 27001:2013 en la columna del lado izquierdo. Cada uno de ellos tiene un objetivo de control comn. El nmero en la parrilla se refiere al nmero de controles en cada ese grupo en particular. Del lado derecho hay once columnas que corresponden a los controles en cada uno de los ttulos de las once clusulas mayores en el Anexo A de ISO/IEC 27001:2005. Una X significa que hay una correspondencia entre los controles del 2013 y del 2005. Para poder ver esas relaciones exactas, por favor consulte el mapeo de datos detallado.

Tabla B: Mapeo de controles del Anexo A

EstrategiasLa estrategia de transicin puede ser una de las siguientes:

1

2

1

2

1

2

3

PolticasExiste un requerimiento en ISO/IEC 27001:2005 para producir una poltica SGSI, la cual contiene la poltica de seguridad de la informacin y el criterio de riesgos.

El requerimiento de poltica en ISO/IEC 27001:2013 (Clusula 5.2) solo se refiere a la poltica de seguridad de la informacin, pero hay un requerimiento (Clusula 6.1.2) para establecer y mantener los criterios de riesgos, y posteriormente en esta clusula un requerimiento para retener informacin docu-mentada sobre el proceso de evaluacin de riesgos. Como una organizacin tendr ya documentada su poltica de seguridad de la informacin y el criterio de riesgos en su poltica de SGSI, y dado que ISO/IEC 27001:2013 no otorga nombres a los do-cumentos, una organizacin debe decidir mantener su poltica de SGSI igual. No hay necesidad de cambiar el nombre. Toda la organizacin necesita es saber cul de los requerimientos de informacin documentada de ISO/IEC 27001:2013 cumple.

Sin embargo, hay otros requerimientos de seguridad de la informacin en ISO/IEC 27001:2013 que una organizacin debe considerar para las cuestiones de poltica y que por lo tanto deben ser incluidas en la poltica del SGSI. Estas son:

Existen tambin dos requerimientos que conciernen al com-promiso, ver las Clusulas 5.2 c) y d). Mientras que las polticas pueden ser escritas para demostrar compromiso, las organiza-ciones pueden desear incluir dos declaraciones de intenciones, una para cada uno de estos requerimientos.

Evaluacin de riesgosEn contraste con ISO/IEC 27001:2005, ISO/IEC 27001:2013 no requiere explcitamente la identificacin de activos, ame-nazas y vulnerabilidades como prerrequisitos para la identifi-cacin de riesgos. Tambin utiliza el vocabulario de ISO 31000 (Gestin de riesgos principios y guas) y por lo tanto ISO/IEC 27001:2013 se refiere a las consecuencias ms que a los impactos. Sin embargo, la estructura general del reque-rimiento (identificar riesgos, evaluar las consecuencias y probabilidades) es la misma que en ISO/IEC 27001:2005 y por lo tanto un mtodo que se ajusta a los requerimientos de ISO/IEC 27001:2005 debe tambin conformar los requeri-mientos de ISO/IEC 27001:2013. Esto significa que si no hay cambios o los cambios mnimos deben de requerirse para la informacin documentada existente relacionada con la eva-luacin de riesgos/metodologa de tratamiento de riesgos o su implementacin.

Control documentalNo se requerirn cambios a los procedimientos documentados existentes en materia de control de documentacin.

El criterio para llevar a cabo evaluaciones de riesgos de seguri-dad de la informacin (ver Clusula 6.1.2 a)2));

La poltica organizacional hacia la liberacin de su poltica de seguridad de la informacin a las partes interesadas (ver Clusula 5.2 g)); y

La poltica organizacional con respecto a las comunicaciones externas (ver Clusula 7.4).

La transicin utilizando la estrategia minimalista podra lle-varse a cabo con mucha rapidez. Dadas las mejoras de ISO/IEC 27001:2013 sobre su predecesora, las organizaciones estn motivadas para hacer la transicin tan pronto como puedan. Sin embargo, una vez que la planeacin detallada de la transicin se pone en marcha, las organizaciones pue-den desear hacer mejoras. Si bien esto motiva, las organiza-ciones deben decidir si:

El primer curso de accin es ms tpico para una organiza-cin que ha adoptado una estrategia de transicin minima-lista, mientras que el segundo es mejor si la organizacin est usando la transicin como una razn para hacer otros cambios.

Dnde comenzar

En ambos casos, un lugar sensible para comenzar es el anlisis Gap entre el SGSI existente y la nueva versin del estndar. Esto formar las bases para las tareas requeridas del proyecto de transicin. Conociendo cmo el SGSI exis-tente se ajusta al estndar anterior tambin puede ayudar, ya que identifica las reas existentes con informacin docu-mentada que requerirn cambiar.

Cambios en el SGSI

Recuerde que los cambios que usted haga a la informacin documentada existente debern ser guardados para cum-plir con la Clusula 7.5

reas donde el cambio ser mnimo

Informacin documentadaLa informacin documentada es un nuevo trmino que aplica a lo que la versin 2005 del estndar se refiere como documentos y registros. En la transicin a ISO/IEC 27001:2013, simplemente reemplaza los trminos documentos y registros con el trmino informacin docu-mentada. Si necesita hacer una distincin, reconozca que los documentos son intenciones declaradas, mientras que los registros son evidencias de resultados anteriores.

Un sencillo cambio de imagen, tomando los cambios mni-mos necesarios para los procesos existentes del SGSI y la documentacin existente, o

Tomando una imagen completamente fresca de su SGSI, uti-lizando el estndar revisado para hacer mejoras, que pueden ser significativas para algunas organizaciones.

Destacarlo como oportunidades para mejorar con la inten-cin de hacer cambios en un tiempo apropiado en el futuro; o

Hacer los cambios inmediatamente.

Gua de Transicin

Trminos de referencia para la alta direccinSer necesario un cambio para acomodar las responsabili-dades especficas dadas en la Clusula 5.1 a) al h).

ResponsabilidadesSer necesario un cambio para acomodar las responsabili-dades especficas dadas en la Clusula 5.3 a) y b).

ConcienciaSer necesario un cambio para acomodar los requeri-mientos de la Clusula 7.4 como el proceso de creacin de conciencia que puede ser considerado como una forma de comunicacin.

Auditora internaNo sern necesarios cambios a los procedimientos de docu-mentacin existente relacionados con auditora interna.

Revisin de la gestinNo sern necesarios cambios a los procedimientos docu-mentados existentes de revisin de la gestin, adems de asegurar que los temas enlistados en las Clusulas 9.3 a)-f) son considerados.

Acciones correctivasLos procedimientos existentes pueden necesitar ser reforzados para asegurarse de que reaccione ante las no conformidades y tome accin, como aplica, controlarlos y corregirlos y trabajar con las consecuencias. Usted tambin puede requerir determinar si existen no conformidades similares, o que puedan potencialmente ocurrir, y asegurar que las acciones correctivas apropiadas son implementadas para trabajar con los efectos.

MejoraAsegura que existen procedimientos para la mejora conti-nua que se extienden para cubrir la idoneidad y adecuacin de un SGSI as como su efectividad.

reas que potencialmente requieren un replanteamiento

Alcance del sistema de gestinLa redaccin de la Clusula 4.3 (y en particular 4.3 c)) pretende aclarar que el alcance del SGSI (como distinto del alcance de la certificacin) incluye todo lo que es de inters del SGSI. Por lo tanto el alcance incluir fuentes de riesgos externos, tales como hackers y desastres naturales, as como cualquier funcin que est sub contratada.

Si, despus de un anlisis, una organizacin considera que hay entidades que deben de ser incluidas en el alcance de su SGIS que previamente fueron excluidas, la transicin a ISO/IEC 27001:2013 provee una oportunidad para redefinir el alcance del SGSI, as como de demostrar conformidad con la Clusula 4.3

Objetivos de seguridad de la informacinSi una organizacin considera sus objetivos de seguridad de la informacin como objetivos de polticas atemporales, el requerimiento de la Clusula 6.2, que se refiere a funciones y niveles relevantes, puede ser un shock. Sin embargo, solo puede requerir un cambio a la forma en que la conformidad se describe. Es probable que una organizacin establezca objetivos en todos los niveles y funciones pertinentes, y es slo cuestin de reconocer que lo hace y describir cmo lo hace.

Por ejemplo, es una buena prctica cuando se plantean acciones para definir objetivos, asignar responsabilidades y establecer fechas lmite para completarlas. Si una organi-zacin ya hace esto, entonces est ya cumpliendo con la clusula.

reas que necesitan actualizacin

El enunciado de aplicabilidadEl Anexo A ha sido actualizado para reflejar los controles que ahora estn descritos en ISO/IEC 27002:2013. Mientras las organizaciones no necesitan ya seleccionar controles del Anexo A, este an se utiliza para determinar si cualquier control necesario ha sido omitido (ver Clusula 6.1.3c)) y las organizaciones estn obligadas a producir un SOA. El formato de un ISO/IEC 27002:2013 conforme a SOA no necesita ser diferente del estndar anterior. Sin embargo, el establecimiento de controles es diferente, y por lo tanto las organizaciones requerirn actualizar sus SOAs. Cuando haga esto, tenga cuidado de asegurar que el control de la implementacin se ajuste estrictamente a la redaccin dada en el Anexo A.

Nuevos requerimientos que deben de cumplirse ya

Partes interesadas y sus requerimientosLa Clusula 4.2 requiere que la organizacin determine las partes interesadas que son relevantes para el SGSI y sus requerimientos. Es probable que una organizacin ya conoz-ca esta informacin. Por ejemplo, las partes interesadas pueden incluir clientes y proveedores y sus requerimientos estarn documentados en contratos, rdenes de compra, especificaciones, etc. Por lo tanto todo lo que hay que hacer es identificar donde se documenta esta informacin y hacer referencia a ella. Es probable que la organizacin que ya hace uso de esta informacin, provea conformidad con otras clusulas tales como 6.1

IntegracinLa Clusula 5.1 b) requiere que la alta direccin asegure la integracin de los requerimientos del SGSI en los procesos de negocio de la organizacin. Si las funciones de negocio de una organizacin deban ser representadas por uno o varios diagramas de flujo de trabajo y por lo tanto las actividades que corresponden a los requerimientos del SGSI se extienden a lo largo de los flujos de trabajo, entonces el requerimiento de integracin probablemente se est cum-pliendo. Sin embargo si los requerimientos del SGSI estn contenidos un solo flujo de trabajo que no contiene nada ms, entonces el requerimiento de integracin probable-mente no se est cumpliendo.

En el primer caso, se trata de la mejor manera de demostrar la conformidad. Si los diagramas de flujo de trabajo existen, o pueden visualizarse, por ejemplo: a travs de una interface de software, entonces ser una forma fcil de demostrar la conformidad. Si el requerimiento de integracin no se cum-ple, entonces el concepto de flujo de trabajo puede proveer una ruta para lograr la conformidad.

ComunicacinLos requerimientos de la Clusula 7.4 (comunicaciones) son ms especficos que los requerimientos equivalentes en la versin anterior del estndar. Sin embargo, los nuevos requerimientos siguen prcticas comunes y por lo tanto los requerimientos de comunicacin pueden estar ya satisfe-chos.

Los nuevos requerimientos que pueden presentar un cambio

ProblemasEs probable que los problemas mencionados en la Clusula 4.1 sean bien conocidos por una organizacin, pero no nece-sariamente por escrito y desde luego no de una forma que demuestre la conformidad.

Un problema importante para la mayora de las organiza-ciones podra ser su motivacin para tener un SGSI. Una organizacin podra saber lo que era y habra sido un factor importante sobre como el SGSI original haba sido disea-do. Tenga en cuenta que esta motivacin puede cambiar con el tiempo: la motivacin original puede ser sustituida por otras como los beneficios de tener un sistema de ges-tin SGSI.

Otro problema importante podra ser aquellos concernien-tes a la seguridad de la informacin. Si estos son desco-nocidos o la organizacin tiene incertidumbre sobre ellos, puede ser posible aplicar la ingeniera inversa a ellos a partir de una consideracin de la poltica de seguridad de la informacin, de los objetivos y de la evaluacin de riesgos de seguridad de la informacin y el tratamiento de riesgos.

Otros problemas, que probablemente ya han sido aborda-dos por la organizacin podran relacionarse con la opera-cin del SGSI, como el compromiso de la direccin y la mo-tivacin del personal. Finalmente, las organizaciones deben considerar buscar a travs de las actas de las reuniones de direccin y sus registros de acciones preventivas para otros problemas. Despus de todo, las Clusulas 4.1 y 6.1.1 son la nueva forma de trabajar con las acciones preventivas.

Acciones para abordar riesgos y oportunidades generalLos procedimientos existentes de acciones preventivas necesitan ser revisados o reemplazados para asegurar la conformidad con las Clusulas 4.1, 4.2 y 6.1.1. Las organiza-ciones son dirigidas hacia la informacin dada anteriormen-te en este folleto.

Monitoreo, medicin, anlisis y evaluacinLos requerimientos de la Clusula 9.1 son ms detallados y exactos que los requerimientos para el SGSI y el control de efectividad en ISO/IEC 27001:2005. Desde la perspectiva de la transicin puede ser mejor comenzar con una hoja en blanco. Las organizaciones son dirigidas hacia la informa-cin dada anteriormente en este folleto.

Observaciones finales

Todas las organizaciones son diferentes y esta gua necesita ser interpretada en el contexto de las necesidades indivi-duales de cada organizacin. Lo que puede llegar a ser fcil para algunos puede ser un reto para otros y viceversa. Se espera que esta gua sea un punto de partida til para la mayora de las organizaciones.

Desarrolle su conocimiento de ISO/IEC 27001:2013 con los cursos de capacitacin de BSI.

Nuestros instructores expertos pueden ayudarle a obtener habilidades adicionales para realizar la transicin. O si usted se encuentra iniciando con un nuevo sistema de gestin de seguridad de la in-formacin podemos ensearle todo lo que necesita saber acerca del estndar, cmo implementarlo y auditarlo en conformidad al mismo dentro de su negocio.

Para conocer ms visite:bsigroup.com.mx/iso27001

Nuevos libros sobre Seguridad de la Informacin estn disponiblesNecesita informacin adicional para ayudarle a realizar la transicin?Ya sea usted nuevo con el estndar, est iniciando con el proceso de certificacin, o se encuentre ya en el camino, nuestros libros le darn una comprensin detallada de los nuevos estndares, guas de implementacin y detalles de certificacin y auditoras todos escritos por lderes especialistas en seguridad de la informacin, incluyendo a David Brewer, Bridget Kenyon, Edward Humphreys y Robert Christian.Captulos de ejemplo estn disponibles

Encuentre ms informacin en www.bsigroup.com/27books

ISO/IEC 27001cursos de capacitacin

David Brewer, PhD, FBCS, es reconocido mundialmente por las contribuciones que ha hecho a la gestin de seguridad de la informacin. l fue uno de los primeros consultores en asesorar al Gobierno Britnico en materia de seguridad de la informacin a principios de 1980 y fue uno de los desarrolladores del estndar original de SGSI, BS 7799-2:2002. Ha impartido capacitacin sobre SGSI y consultora en Europa, Estados Unidos, frica Oriental, Oriente Medio y el lejano Oriente y administra un sistema de gestin integrado conforme a ISO 9001, ISO/IEC 27001 e ISO 22301. Es miembro del comit ISO responsable de la serie de estndares ISO/IEC 27001, jugando un rol significativo en el desarrollo de ISO/IEC 27001:2013 y es co-editor de la revisin de ISO/IEC 27004.

Biografa de David Brewer

Conocemos ISO/IEC 27001;

BSI dio forma al estndar original.

BS

I/M

X/7

7/S

C/1

013

/es

BSI

Dio forma al estndar original ISO/IEC 27001 Cuenta con los instructores ms altamente capacitados y especializados Ofrece la ms amplia gama de soluciones de soporte en el mercado Es el organismo de certificacin nmero uno en el Reino Unido, Estados Unidos y Corea Cuenta con ms de 70,000 clientes alrededor del mundo Tiene una reputacin internacional incomparable por su excelencia

BSI Group Mxico S de RL de CV

Oficinas Ciudad de MxicoTorre Mayor, Paseo de la Reforma No. 505Piso 50, Suite ACol. Cuauhtmoc, C.P. 06500, Mxico, D.F. Tel: +52 (55) 5241 1370Lada sin costo 01 800 044 0274

Guía de Transición_ISO27001

Documents

Transcript of Guía de Transición_ISO27001