Anlisis detallado de la nueva versin ISO 27001:2013

Javier Cao Avellaneda Firma, Proyectos y Formacin, S.L. (Espaa) javier.cao@firma-e.com

Tras unos das de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una lectura ms reposada y meditada del nuevo estndar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versin y que ahora est mejor enfocada hacia la valoracin del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. Uno empieza con las buenas sensaciones desde el comienzo cuando ya en la clusula 0 de forma explcita se inicia diciendo que La adopcin de un SGSI es una decisin estratgica de la Organizacin. Esta generalizacin de la seguridad como un proceso relevante en la consecucin de los objetivos de negocio de toda Organizacin se confirma cuando se indica que la misin del SGSI es preservar la integridad, disponibilidad y confidencialidad de la informacin aplicando un proceso de gestin del riesgo y generando confianza a las partes interesadas de que los riesgos son adecuadamente manejados. En un mundo donde cada vez ms la gestin TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organizacin, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar proteccin de informacin a nuestras partes interesadas (clientes y los propios departamentos de la Organizacin). Voy a continuacin a comentar mis impresiones sobre cada una de las clusulas que forman el cuerpo de la norma tal como indica ahora explcitamente en el apartado Alcance de la clusula 1. En cualquier caso, el gran cambio estructural de esta norma es que ya emplea el Anexo SL de ISO/IEC y que las definiciones de trminos se vinculan a la ISO 27000. Tambin aspectos especficos como la medicin o las metodologas de anlisis y gestin del riesgo se enlazan con las normas ya existentes de la serie ISO 27000.

!"#$%$"&'()'!*+,-.,*'/-'"&'*01&+23&425+)'
Esta clusula est centrada en identificar quienes son los clientes o beneficiarios del SGSI. Para ello, la organizacin se debe plantear diferentes puntos de vista desde los que ver el porqu de las necesidades de seguridad y cules son los requisitos a garantizar. Todo ello se concreta en las siguientes subclusulas.

()6'7+,-+/-0'"&'*01&+23&425+'8'%$'4*+,-.,*)'
Para todo SGSI es vital entender nuestro modelo de negocio y nuestro entorno. Considerar todo aquello que puede condicionar el lograr los resultados de nuestro SGSI.

()9' 7+,-+/-0' "&%' +-4-%2/&/-%' 8' -.:-4,&,2;&%' /-' "&%' :&0,-%' 2+,-0-%&/&%)'
Tambin es crtico identificar quienes son nuestras partes interesadas internas y cules son sus necesidades respecto a la seguridad. En este sentido el alcance del SGSI puede o no
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

cubrir todos los procesos de negocio de la Organizacin y en el caso de ser slo una parte, tendr como partes interesadas a otras reas que sern clientes de la seguridad.

()<'=-,-0>2+&0'-"'&"4&+4-'/-"'?@?A)'
Con todas las reflexiones anteriores en esta clusula se determina la creacin del primero de los documentos que constituyen el SGSI, el alcance del sistema. Se deben establecer los lmites del SGSI en el alcance que tiene que ser expresado en trminos de: 1) asuntos internos y externos considerados en 4.1 2) requisitos identificados de esas necesidades. 3) interfaces y dependencias entre las actividades realizada por la organizacin y las que son realizadas por otras organizaciones.

B'C2/-0&31*)'
Esta clusula rene los requisitos para garantizar que la puesta en marcha del SGSI efectivamente es un proceso estratgico y establece las directrices de gestin de alto nivel que deben motivar el funcionamiento del sistema.

B)6'C2/-0&31*'8'4*>:0*>2%*)'
La alta direccin debe demostrar liderazgo y compromiso con el SGSI sobre todo de las siguientes formas: 1) asegurando que los objetivos se establecen y son compatibles con la direccin estratgica de la organizacin. 2) garantizando que s que se integra el SGSI con los procesos de la organizacin y proporcionando los recursos necesarios. 3) asegurando que el SGSI logra los resultados esperados. Como podemos ver, en este apartado ya se empieza a ver uno de los cimientos del SGSI, que los resultados muestren que se alcanzan los objetivos.

B)9'D*"E,24&)'
En esta clusula se formaliza ese compromiso de la Direccin obligando a documentar el segundo de los documentos que constituyen el SGSI, la poltica de seguridad. En esta reordenacin de la norma, la poltica cobra una vital importancia al ser ahora una subclusula del Liderazgo y al explicitar de forma clara los contenidos mnimos que su redaccin debe cubrir. Al menos, debe establecer directrices de gestin respecto a: 1) ser adecuada al propsito de la organizacin. 2) incluir objetivos o proporcionar un marco para establecerlos. 3) incluir compromisos de satisfacer los requisitos aplicables y garantizar la mejora continua.

B)<'F*"-%'/-'"&'*01&+23&425+G'0-%:*+%&H2"2/&/-%'8'&$,*02/&/)'
La componente organizativa tampoco se descuida y todos los miembros activos que forman parte del funcionamiento del SGSI deben tener asignadas unas claras tareas y responsabilidades. Las tareas del SGSI se estratifican a diferentes niveles del organigrama y habr personal ms vinculado con la gestin del propio sistema y el soporte de los procesos propios como el control de la documentacin, la mejora continua o la medicin y otro personal ms centrado en las tareas operativas de administracin y operacin de las medidas de seguridad que implantan controles del anexo A. Para todos ellos, en esta clusula se determina que:! A) Se deben asignar responsabilidades y autoridad para garantizar que el SGSI es conforme al estndar. B) Informar a la direccin del rendimiento del SGSI.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

I)'D"&+2J24&425+'
Esta clusula secuencia los pasos para la creacin del SGSI en donde es una tarea clave y principal para la toma de decisiones el proceso de identificacin y anlisis del riesgo.

' I)6)'K442*+-%':&0&'/202120'"*%'02-%1*%'8'*:*0,$+2/&/-%)'
En la nueva redaccin, la planificacin del SGSI est condicionada por los objetivos propios de la Organizacin, los requisitos identificados en la clusula 4 y el propio anlisis de los riesgos. La organizacin debe planificar el SGSI para determinar los riesgos y oportunidades que le permita: A) asegurar que el SGSI logra los resultados. B) prevenir o reducir los efectos no deseados. C) lograr la mejora continua. De nuevo vemos la importancia de lograr el cumplimiento de las metas como un factor determinante para valorar la salud del SGSI. En relacin al proceso de identificacin y anlisis del riesgo destacan los siguientes aspectos: 1) Se deben identificar los riesgos estimando las posibles prdidas potenciales de confidencialidad, integridad y disponibilidad dentro del alcance del SGSI. 2) Identificar los propietarios de dichos riesgos. Esto es una importante novedad dado que en muchos casos, los riesgos del rea TI pueden no tener ya como dueo al personal de tecnologa si como impacto acumulado afecta a procesos de negocio. Es decir, si quien sufre las consecuencias ante determinada amenaza es un rea de la organizacin, el dueo del riesgo ser el responsable de dicha rea aunque para su mitigacin deba contar con la ayuda del rea tcnica que mejore la robustez u operatividad de un determinado servicio TI. 3) Analizar las potenciales consecuencias en el caso de que los riesgos se materializaran ya determinan unas probabilidades realistas definiendo unos niveles de riesgo. 4) Evaluar los riesgos identificados comparando los resultados obtenidos con los criterios de nivel de riesgo aceptable preestablecidos. 5) Priorizar en un plan las acciones a realizar para reconducir la situacin. En relacin al proceso de tratamiento del riesgo destacan los siguientes aspectos en relacin al contenido del plan: 1) Seleccionar la opcin del riesgo ms adecuada (Aceptar, reducir, evitar o transferir). 2) Determinar que controles son necesarios segn las opciones de riesgo establecidas. 3) Comparar esos controles con los del anexo A para no olvidar ni omitir ninguno. 4) Realizar una declaracin de aplicabilidad 5) Elaborar una planificacin de implantacin. 6) Obtener de los propietarios del riesgo una aprobacin formal de los niveles de riesgo residuales, es decir, contar con el visto bueno de todos aquellos responsables que podran tener problemas de seguridad respecto del conjunto de acciones que se quieren poner en marcha para que las consideren suficientes o para que decidan incluir ms mecanismos de proteccin.

Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

I)9'LHM-,2;*%'8':"&+-%':&0&'"*10&0"*%)'
Este apartado es otro de los cambios sustanciales de esta nueva versin. Se dedica una subclusula entera a la formalizacin de objetivos. En este sentido, la organizacin deber establecer objetivos segn funciones y niveles de forma que sean coherentes con la poltica de seguridad, sean medibles, tengan en cuenta los requisitos y necesidades del SGSI as como los resultados del anlisis de riesgos. Para estos objetivos se deber determinar: que se tendr que lograr que recursos sern necesarios quin ser responsable del seguimiento del objetivo cuando se darn por logrados cmo se medirn los resultados. Se refuerza un apartado de vital importancia y que actualmente en muchos casos no era adecuadamente tratado en muchos SGSI. El funcionamiento del SGSI debe estar guiado por un cuadro general de indicadores que verifican el estado de situacin de los objetivos y nos indican su cumplimiento, su tendencia y los mrgenes de reaccin cuando las cosas no vayan bien.

N)'?*:*0,-'
Esta clusula establece qu medios sern necesarios en la puesta en marcha del SGSI. En este sentido adems de identificar las necesidades materiales se insiste tambin en la importancia de las personas y de sus capacidades tcnicas siendo necesaria la formacin y la concienciacin para garantizar que son las adecuadas. Adems se especifican los requisitos generales que debe garantizar el sistema en relacin a la documentacin que forma parte del mismo y al proceso de gestin respecto a los cambios o actualizaciones necesarios para ir mantenindolo vigente.

' N)6'F-4$0%*%)'
Cmo es obvio, una decisin estratgica de este calado debe contar con los recursos necesarios para lograr el buen funcionamiento del SGSI. Los ajustes presupuestarios podrn influir en las posibles inversiones a realizar y condicionarn el apetito de riesgo de la organizacin pero en cualquier caso, siempre hay unos mnimos que habr que asumir como son la dedicacin del personal que vigila y opera el SGSI.

N)9'!*>:-,-+42&%)'
En relacin al factor humano, el equipo de personas que de soporte al SGSI debe tener un adecuado nivel de conocimiento o disponer de los recursos para hacer que los logren. Adems debe quedar evidencia de este proceso de capacitacin.

N)<'!*+42-+42&425+)'
El personal que trabaja dentro del alcance del SGSI tambin debe ser consciente de la poltica de seguridad, de su contribucin a la efectividad del sistema y de sus implicaciones en la resolucin de no conformidades.

N)('!*>$+24&425+)'
Este apartado formaliza las vas de comunicacin dentro del SGSI y determina que debern identificarse las necesidades internas y externas en materia de comunicacin sobre la seguridad de la informacin estableciendo: A) que debe comunicar. B) cuando debe hacerse. C) a quien debe hacerse. D) quien comunicar. E) como la comunicacin ser transportada o que medios se utilizarn.
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

Estos aspectos son extremadamente relevantes cuando ocurren incidentes de seguridad donde la agilidad de los procesos de notificacin puede minimizar el tiempo de respuesta y reducir los posibles daos.

N)B'=*4$>-+,&425+)'
En esta subclusula se definen los requisitos generales para el control de la documentacin del sistema. Cabe destacar que en esta versin se introduce como novedad que sea el criterio de la propia organizacin el que establezca sus propias necesidades de documentacin siempre que ello garantice la efectividad del sistema. En cualquier caso, hay unos mnimos formalizados que son exigidos por las propias clusulas del estndar que tendrn que estar formalizados. Los factores que pueden condicionar el nivel de documentacin podran ser: a) su tamao, tipo de actividades, productos y servicios. b) la complejidad de sus procesos y sus interacciones. c) la competencia de las personas. En lneas generales, el proceso de gestin de documentacin no cambia mucho respecto a los requisitos anteriores. Se tiene que la documentacin: A) se identifica y describe. B) identifica el formato y el medio. C) es revisada para mantenerla en vigor y actualizada. La documentacin requerida por el SGSI deber estar controlada para asegurar: A) est accesible y adecuada para su uso cundo y dnde sea necesario. B) est adecuadamente protegida. C) se controlan los cambios. D) se garantizan los periodos de retencin y conservacin. Adems deber definirse como se gestiona el ciclo de vida de la documentacin: creacin, distribucin, acceso, uso, almacenamiento y destruccin. La documentacin de origen externo que se determine necesaria para la planificacin y operacin del SGSI deber tambin ser identificada, apropiada y controlada.

O)'L:-0&425+)'
Esta clusula determina cmo se garantiza el funcionamiento del SGSI una vez ha completado su fase de construccin y entra en los diferentes ciclos PDCA en aos sucesivos.

' O)6)'D"&+2J24&425+'*:-0&,2;&'8'4*+,0*")'
Para ello, en esta subclusula se determina que la organizacin deber planificar, implementar y controlar los procesos necesarios para garantizar los requisitos e implementar las acciones necesarias para la gestin del riesgo (6.1). La organizacin deber implementar los planes para alcanzar los objetivos de seguridad propuestos (6.2). La organizacin mantendr registro para tener la necesaria confianza de que los procesos del SGSI siguen siendo bien gestionados segn lo planificado o debe modificar controles planificados y revisar las consecuencias de los cambios no intencionados para mitigar cualquier efecto adverso cuando sea necesario. La organizacin deber asegurar que los procesos externalizados estn definidos y controlados.

Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

O)9)'K+#"2%2%'/-"'02-%1*)'
El anlisis de riesgos es un proceso recurrente que debe ajustar las decisiones de la organizacin o plantear cambiar el apetito de riesgo segn se vayan logrando resultados que manifiesten el control de los riesgos que se estn ya gestionando. Para ello, debe realizarse el proceso de identificacin del riesgo a intervalos planificados o cuando se planteen u ocurran cambios significativos, tomando acciones segn los criterios de aceptacin del riesgo (6.1.2.a)

O)<)'P0&,&>2-+,*'/-"'02-%1*)'
La organizacin estar implantando el plan de tratamiento del riesgo. Conforme se logren ciertos hitos, se irn modificando los criterios de aceptacin del riesgo y eso provocar que ao tras ao los planes se vayan tambin actualizando para reflejar la nueva toma de decisiones. Por tanto, la gestin de la seguridad implica la ejecucin continuada del plan de tratamiento que ao tras ao se debe tambin revisar.

Q)'7;&"$&425+'/-"'0-+/2>2-+,*)'
Este es otro de los apartados ms importantes de este reenfoque de la gestin hacia la bsqueda de resultados. Si en la clusula 6.2 Objetivos hemos definido cuales son los beneficios esperados del funcionamiento del SGSI, en esta clusula 9 se establece cmo se analizar si dichos objetivos se estn o no cumpliendo.

Q)6)'R*+2,*023&425+G'>-/2425+G'&+#"2%2%'8'-;&"$&425+)'
Para que la organizacin pueda evaluar el rendimiento y la efectividad del SGSI, se tiene que concretar y determinar: A) que necesita ser monitorizando y medido, incluyendo los procesos de seguridad y controles. B) los mtodos para monitorizar, medir, analizar y evaluar, cuando sea aplicable, para asegurar unos resultados adecuados. C) cuando las monitorizaciones y mediciones debern ser realizadas. D) quin deber monitorizar y medir. E) cuando los resultados de la monitorizacin y medicin debern ser analizados y evaluados (rangos de normalidad y anomala) F) quien analizara y evaluara estos resultados.

Q)9'K$/2,*0E&'2+,-0+&)'
Otra de las actividades fundamentales dentro del proceso de retroalimentacin y control de todo sistema es la actividad de verificacin o chequeo. En este caso, corresponde al proceso de gestin de la auditora interna. La norma determina que la organizacin deber realizar auditoras internas a intervalos planificados para obtener informacin sobre el funcionamiento del SGSI en relacin a: A) es conforme con: 1. los requisitos propios de la organizacin para el SGSI. 2. los requisitos del estndar. B) est eficientemente implantado y mantenido. De nuevo se debe valorar el logro de los resultados esperados. Para ello, se debe planificar, establecer, implementar y mantener un programa de auditora, incluyendo la frecuencia de las mismas, los mtodos, responsabilidades, requisitos de planificacin e informes. De este proceso es esencial asegurar que los resultados se reportan a la direccin aunque ello se consigue en el proceso de Revisin por Direccin al considerar la auditora como una de las entradas a dicho proceso.

Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.

Q)<)'F-;2%25+':*0'=20-4425+)'
Como resultado de las actividades de anlisis de la gestin (Monitorizacin, medicin y auditora interna) debe llegar la fase de toma de decisiones o de realizacin de ajustes. En todo ciclo de control de sistemas, las desviaciones son gestionadas modificando los criterios de control para lograr que cambien las cosas y que las salidas sean las esperadas. En este proceso de gestin del SGSI, la alta direccin deber revisar el SGSI a intervalos planificados para asegurar su contina adecuacin, vigencia y efectividad. En este caso, la revisin por la direccin deber considerar como entradas: A) el estado de las acciones de anteriores revisiones. B) cambios en asuntos internos o externos que sean relevantes para el SGSI. C) retroalimentacin del rendimiento de la seguridad de la informacin, incluyendo estadsticas sobre: a. no conformidades y acciones correctivas. b. medicin de la monitorizacin y la medicin de resultados c. resultados de las auditoras, d. cumplimiento de los objetivos de seguridad. D) retroalimentacin de las partes interesadas. E) resultados del anlisis de riesgos y del estado del plan de tratamiento. F) oportunidades de mejora contina. La salida de la revisin de la direccin deber incluir las decisiones relativas a las oportunidades de mejora continua y las necesidades de cambios del SGSI.

6S)'R-M*0&'
Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas que no funcionan de forma adecuada son documentadas para aplicar acciones de correccin que mitiguen tanto las consecuencias directas como las causas que las ocasionan.

6S)6)'T*'4*+J*0>2/&/'8'&4425+'4*00-4,2;&)
Esta subclusula ahora est ms claramente descrita y formaliza mejor el proceso de gestin de no conformidades y acciones correctivas indicando como requisitos que cuando una no conformidad se identifique habr que: A) reaccionar contra la no conformidad y cuando sea aplicable: a. tomar acciones para controlar y corregirla, y b. tratar con sus consecuencias. B) evaluar las necesidades de acciones para eliminar las causas de la no conformidad con el objetivo de que no se repita u ocurra de nuevo, mediante: c. revisando la no conformidad. d. determinando las causas de la no conformidad. e. determinando si existen similares no conformidad es o si potencialmente podran ocurrir. C) implementar la accin necesaria. D) revisar la efectividad de las acciones correctivas tomadas E) hacer cambios en el SGSI si fueran necesarios. Las acciones correctivas debern ser adecuadas para los efectos de las no conformidades encontradas.

6S)9)'R-M*0&'4*+,2+$&'
Como filosofa general del ciclo de Deming o PDCA, esta subclusula determina que el propsito fundamental de la organizacin deber ser el mejorar de forma continua la vigencia, adecuacin y efectividad del SGSI, es decir, ao tras ao debe buscarse el consolidar las cosas que se hacen bien, mejorar las que no funcionan o plantearse nuevos controles para seguir reduciendo niveles de riesgo y los umbrales de aceptacin de los mismos. !
Licenciado por Javier Cao Avellaneda bajo Creative Commons Reconocimiento-SinObraDerivada 3.0 Unported License.