Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información

ISO/IEC 27001:2013

Oscar F. Giudice

ISO/IEC 27001:2013

Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la

Información

Oscar F. Giudice

Estructura de la Norma

• Común a todas las normas ISO

Facilita la interpretación de distintas normas y la implantación conjunta

– Se alinea con el anexo SL de las directivas de ISO/IEC

– Ej: ISO 22301:2012 (gestión del continuidad del negocio)

– Se espera que las futuras versiones de ISO 9001 e ISO 20000 adopten esta estructura

Oscar F. Giudice 3

Anexo SL

• La publicación del Anexo SL, sustituye a la Guía 83

• El Anexo SL define la estructura y el formato común para todas las nuevas normas de sistemas de gestión ISO y revisiones de las normas existentes. – No alterará los requisitos de las normas.

– Ayudará a normalizar los enfoques lingüísticos y de gestión.

Oscar F. Giudice 4

Anexo SL, estructura de alto nivel

# Cláusula

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

5 Liderazgo

6 Planificación

7 Apoyo

8 Operación

9 Evaluación del desempeño

10 Mejora

Oscar F. Giudice 5

Estructura de la Norma

• Desaparecen las definiciones existentes en la versión 2005

Garantiza la coherencia en los términos y definiciones de toda la familia 27000

– Se eliminaron las irrelevantes

– Las relevantes se pasaron a la ISO/IEC 27000

– Gestión del Riesgo alineada con ISO 31000

Oscar F. Giudice 6

Estructura de la Norma

• Enfoque basado en procesos Se reconoce como un requisito importante la mejora continua y se posibilita el uso de otros modelos distintos al PDCA (Plan, Do, Check, Act) – Se elimina la sección de la norma que hace referencia

al enfoque basado en procesos. – El modelo PDCA no se referencia explícitamente en la

nueva norma, sin embargo, está allí como un modelo de mejora.

– Los diferentes elementos de PDCA se distribuyen dentro de la estructura de la norma.

Oscar F. Giudice 7

Estructura de la Norma

• Nuevos criterios – Da mayor importancia al cumplimiento de todos

los requisitos, al momento de realizar la implementación completa del SGSI.

– El orden de aparición no es orden en que se deben implantar los requisitos.

– Focalizada en establecer objetivos, realizar seguimiento y mediciones.

– Compromiso de la dirección se centrado en el “Liderazgo”

Oscar F. Giudice 8

Tabla de contenido I

2005

1 Introducción

2 Objeto

3 Referencias Normativas

4 SGSI

5 Responsabilidad de la dirección

6 Auditoría Interna

7 Revisión de la Dirección

8 Mejora

2013

1 Introducción

2 Objeto

3 Referencias Normativas

4 Contexto de la Organización

5 Liderazgo

6 Planificación

7 Soporte

8 Operación

9 Evaluación de Desempeño

10 Mejora

Oscar F. Giudice 9 ‹#›

Tabla de contenido I

2005

4 SGSI

4.1 General

4.2 Implementar y Operar

4.3 Documentar

2013

1 Introducción

2 Objeto

3 Referencias Normativas

4 Contexto de la Organización

5 Liderazgo

6 Planificación

7 Soporte

8 Operación

9 Evaluación de Desempeño

10 Mejora

Oscar F. Giudice 10 ‹#›

Clausulas y Requisitos

Versión 2005 Versión 2013

Requisitos 102 130

Clausulas De la 4 a la 8 De la 4 a la 10

• Se reorganiza el número de clausulas

• Se crean nuevas secciones

Oscar F. Giudice 11

Dominios y Controles

Versión 2005 Versión 2013

Dominios De A.5 a A.15 De A.5 a A.18

Controles 133 114

• Los cambios en los controles siguen a la ISO/IEC 27002:2013

• Controles: se mantienen 94, eliminados 39, se incorporan 20

Las organizaciones deben “determinar” los controles necesarios, para el tratamiento de riesgos. Afín de no

olvidar ningún control importante, los controles seleccionados, deben compararse con el Anexo A.

Oscar F. Giudice 12

Dominios de Seguridad

11 D

om

inio

s d

e Se

guri

dad

A.5 Políticas de seguridad de la información

A.6 Organización de la seguridad de la información

A.7 Gestión de activos (AI)

A.8 Seguridad de los recursos humanos

A.9 Seguridad física y del entorno

A.10 Gestión de comunicaciones y operaciones

A.11 Control de acceso (Lógico)

A.12 Adquisición, desarrollo y mantenimiento de sistemas

A.13 Gestión de incidentes de seguridad de información

A.14 Gestión de la continuidad de negocio

A.15 Conformidad

Oscar F. Giudice 13

Dominios de Seguridad

14

Do

min

ios

de

Segu

rid

ad.

A.5 Políticas de seguridad de la información

A.6 Organización de la seguridad de la información

A.7 Seguridad de los recursos humanos

A.8 Gestión de activos

A.9 Control de accesos

A.10 Criptografía

A.11 Seguridad física y ambiental

A.12 Seguridad en las operaciones

A.13 Seguridad en las comunicaciones

A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.15 Relación con proveedores

A.16 Gestión de incidentes de seguridad de la información

A.17 Aspectos de SI dentro de la continuidad del negocio

A.18 Conformidad Oscar F. Giudice 14

Conclusiones

• Facilita la integración de Sistemas de Gestión

• Aparece un vocabulario homogéneo

• Facilita la auditoría

• Mayor compromiso de la dirección “liderazgo del proceso”

• Mejora en la gestión de riegos (Gestión de Riesgos Estratégica)

Oscar F. Giudice 15

ISO/IEC 27001:2013 para

• Enfrentar la ciber-delincuencia y proteger el negocio.

• Recuperarse de desastres • Minimización del riesgo al que se ve expuesta la

información • Mejorar el gobierno corporativo Reduciendo la

exposición financiera resultante de fallas en las TICs.

• Alineamiento la Gestión de Riesgos de TI con las Gestión de Riesgos Empresarial.

Oscar F. Giudice 16

Oscar Giudice TecnoIntegración

Más de 30 años de experiencia en electro-tecnologías: Informática, Telecomunicaciones, Electrónica

Actividad Actual • Responsable de Infraestructura TIC en DINAMA - MVOTMA (Dirección Nacional de Medio Ambiente del Uruguay) • Director de TecnoIntegración

Áreas de expertise • Seguridad de la Información • Bussines Continuity & Disaster recovery • Infraestructura TICs

Países de operación • Argentina y Uruguay

Asociaciones • Director CCAT-Lat (asociación civil internacional sin fines de lucro)

• Vicepresidente ISSA Capítulo Uruguay (2012-2014) (Information Systems Security Association)

• Miembro del Comité de Seguridad de la Información Instituto Uruguayo de Normas Técnicas (UNIT)

• IEEE Sección Argentina - 1990 al 1992 (Institute of Electrical and Electronics Engineers)

• COPITEC Matrícula Nro. T-2479

ogiudice@ccat-lat.org