Carlos Alberto Saiz Luis Esteban Socio de GRC de Exic Consultor de Seguridad de Ecix

El pasado día 25 de septiembre se publicó finalmente la nueva versión del estándar ISO/IEC 27001, que especifica los requisitos para el establecimiento de un Sistema de Gestión de Seguridad de la Información (SGSI), después de un largo camino de revisiones y aprobaciones. En el presente artículo, se analizan los cambios más relevantes tanto en el cuerpo de la Norma como en el anexo A que contiene los controles contenidos en ISO/IEC 27002, que ha sido igualmente revisado y publicado en la misma fecha. Además se examinan las consecuencias tanto para los SGSI actualmente certificados como aquellos que estén en proceso de implantación.

Entre los cambios más relevantes de la nueva versión encontramos:

• Eliminación de la referencia al enfoque de proceso de mejora continua plan-do-check-act.
• Reestructuración general de capítulos y subapartados. Los capítulos están alineados con el “anexo SL” publicado por ISO/IEC con el fin de que todos los estándares de sistemas de gestión tengan la misma estructura.
• Se han simplificado algunos requisitos clave. Uno de los casos más relevantes es el análisis de riesgos, que resulta más general no entrando en detalles metodológicos.
• Mayor énfasis en el conocimiento del contexto de la organización y de las necesidades de las partes interesadas.
• Posibilidad de elegir cualquier framework de controles de seguridad, aunque siempre será necesario cotejarlo con el anexo A (controles ISO 27002).
• Importancia del liderazgo por parte de la Dirección, no sólo compromiso.
• Mayor detalle en el área de monitorización.
• Cambios en capítulos y controles del Anexo A / ISO27002.

Apartado 4 “Context of the organization”

Constituye un nuevo apartado que otorga vital importancia al entendimiento del contexto de la organización y su negocio. Este conocimiento debe suponer el punto esencial de entrada para el establecimiento del Sistema de Gestión: definición del alcance, política, establecimiento de objetivos y análisis de riesgos.

En este sentido se alinea con la norma ISO 31000 de gestión del riesgos, en la que es necesario tener en cuenta los aspectos externos (culturales, regulatorios y económicos) e internos (cultura interna, capacidades, procesos, etc).

Por otro lado será necesario identificar las partes interesadas, incluyendo accionistas, clientes, socios comerciales, autoridades regulatorias, y entender sus necesidades, requisitos y expectativas relacionadas con la seguridad de la información

Para determinar el alcance será necesario considerar el contexto del negocio y los requisitos y necesidades de las partes interesadas según lo explicado anteriormente.  Por lo que se deduce que el alcance tiene que ser relevante para la organización y no un simple aplicativo o proceso de menor importancia.

Apartado 5 “Leadership”

Se otorga un mayor énfasis al liderazgo  de la  Dirección en el Sistema de Gestión, no sólo desde el punto de vista de un compromiso formal, como se especificaba en la anterior versión, sino con el objetivo de evitar considerar como management a la Dirección de Tecnología o Seguridad.

Por otro lado, se eliminan algunas funciones asignadas a la Dirección, quizás demasiado operativas para este nivel,  presentes en la anterior versión como “decidir criterios de aceptación de riesgos” o “asegurar que se realizan auditorías”.

En el apartado de Leadership se incluye la Política de Seguridad, que acertadamente ya no se denomina Política del Sistema de Gestión de Seguridad de la Información. Se otorga más libertad a la hora de definir la política, eliminando detalles presentes en la anterior versión, como tener que incluir las características de los criterios de evaluación del riesgo. Únicamente especifica que se deben definir objetivos de seguridad o al menos definir un marco para su definición, que sea apropiada al propósito de la organización, y que exista un compromiso con el cumplimiento  los requisitos de seguridad de la información y con la mejora continua de la seguridad.

Respecto a las responsabilidades, roles y autoridad, se especifica la necesidad, por parte de la Dirección, de asignar funciones, responsabilidades y autoridades, relacionadas con el cumplimiento con los requisitos del estándar así como el reporte a la dirección sobre  el desempeño del Sistema de Gestión.

Apartado 6 “Planning”

El proceso de análisis de riesgos es más genérico.  Se eliminan las referencias a la identificación de activos, amenazas y vulnerabilidades. Únicamente hay que identificar riesgos (no especifica cómo) asociados a la pérdida de confidencialidad, integridad y disponibilidad. Después analizar las potenciales consecuencias y la probabilidad para, finalmente, cuantificar el riesgo. Además  se deberá identificar al propietario del riesgo.

Siguiendo la línea de simplificar los requisitos, no se especifican las diferentes opciones de tratamiento de riesgo (aceptar el riesgo, mitigarlo, evitarlo o transferirlo).

Respecto a la selección de controles, se deja la libertad a las organizaciones para elegir un marco de controles de seguridad en caso que no quiera seguirse el Anexo A/ISO 27002, aunque de cualquier modo se deberá comparar con los controles del Anexo A para comprobar que no se obvia ningún control.

Otra novedad introducida es la redefinición de objetivos de seguridad relacionados con la seguridad de la información, como parte del Sistema de Gestión, otorgándole mayor relevancia frente a la anterior versión. Por lo tanto se añade otra línea estratégica más junto con la política de seguridad y gestión de riesgos, y un punto más de decisión para la Dirección.

Apartado 7 “Support “

Los aspectos definidos como necesarios para el apoyo al Sistema de Gestión agrupa  la asignación de recursos, la definición de competencias para el personal con funciones relacionadas con la seguridad de la información sobre la base formación y experiencia, concienciación del personal de la organización, comunicación, y documentación.

Como principales novedades de este apartado cabe destacar la necesidad de establecer procesos decomunicación haciaa los distintas partes interesadas, tanto internas como externas, de los aspectos relevantes del Sistema de Gestión. Respecto a los requisitos documentales, se ha eliminado el listado de documentos necesarios, aunque durante el cuerpo del estándar se hace referencia a distintos documentos. Por otro lado se elimina la separación de documentos y registros, siendo denominados simplemente “información documentada”.

Apartado 9 “Performance evaluation”

El estándar profundiza con mayor detalle en los requisitos para la monitorización y medición. En la anterior versión hablaba de “monitorización del Sistema de Gestión”, sin embargo en el actual borrador se específica la monitorización y medida a procesos de seguridad y controles. Adicionalmente se añade el término evaluación del “rendimiento” a parte de la “efectividad”.  Además será necesario definir qué será medido, los métodos, cuándo y quién medirá, y quién y cuándo evaluará los resultados. Desde luego estos cambios obligarán a mejorar el proceso de medición y por otro lado involucrar a la Dirección en el proceso de evaluación de forma proactiva.

Apartado 10 “Improvement”

Sólo tiene en cuenta las medidas correctivas, excluyendo las  medidas preventivas, que no son otra  cosa que las acciones derivadas de la gestión del riesgo. Entre las medidas correctivas diferencia aquellas necesarias para reaccionar ante la no conformidad y aquellas dispuestas para eliminar las causas de la misma.

Esta nueva versión elimina las “pistas” de donde detectar medidas correctivas, que en la anterior versión sí se nombraba, como por ejemplo: auditorías, revisión de seguridad u objetivos de seguridad.

Anexo A Controles de Seguridad

Respecto al anexo de controles de seguridad igualmente existen cambios que dan como resultado una estructura más lógica y actualizada a la realidad actual.

Se pasa de 11 a 14 capítulos. Los aspectos relacionados criptografía se separan del capítulo de desarrollo y adquisición Software y se convierte en un capítulo de propio derecho. Lo mismo ocurre con Relaciones con Proveedores que en este caso estaba dispersado por varios capítulos. Por otro lado el capítulo de Comunicaciones y Operaciones se divide en dos diferentes.

El número de controles se reduce de  133 a 114, debido principalmente a la eliminación de controles obsoletos, repetidos o fusión de varios en uno solo. También se han realizado otras reestructuraciones; controles que pasan a otros capítulos, se dividen en varios, cambios en la denominación de los controles y la creación de nuevos controles que a continuación se especifican:

• A.6.1.5 Information security in project management
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principle
• A.14.2.6 Secure development environment
• A.14.2.8  System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.17.2.1 Availability of information processing facilities

Implicaciones para las organizaciones

Las entidades actualmente certificadas en ISO/IEC 27001:2005 tendrán un periodo de transición para que puedan adaptarse al nuevo estándar, que se estima de dos a tres años. Es decir, durante ese tiempo podrán seguir realizando las auditorías de certificación contra la versión 2005.

Por otro lado, las entidades que no estén certificadas pero dispongan de un SGSI lo suficiente maduro, cumpliéndose con la mayoría de los requisitos formales y disponiéndose de los correspondientes procedimientos, se recomienda la certificación contra la versión 2005 a corto plazo e ir planificando la adaptación a la nueva versión. Será posible la certificación contra la versión 2005 durante aproximadamente un año.

En el caso de aquellas entidades que todavía no se hubiera empezado el proceso de implantación del SGSI o se encontrase en sus primeras fases, se recomienda certificarse contra la versión 2013 recientemente publicada.  Habrá un margen de tiempo hasta que sea posible empezar a certificarse contra la nueva versión de 6 meses aproximadamente, una vez que las entidades certificadoras tengan actualizados sus procesos internos.

Los SGSI ya certificados o con un nivel avanzado de implementación y que cuenten con herramientas de soporte para su SGSI y gestión de riesgos, deberán consecuentemente revisar la adecuación de dichas herramientas al nuevo estándar. Potencialmente, el cambio introducido de mayor calado corresponderá a la actualización de controles del anexo A (ISO/IEC 27002) y las correspondientes medidas de seguridad asociadas. Es decir, no bastará con crear un nuevo catálogo de controles, será necesario establecer un enlace o transición entre los dos catálogos, mostrando la trazabilidad, viéndose principalmente afectado en este sentido el plan de gestión del riesgo.

Conclusiones

A pesar de los cambios expuestos, éstos no deberían suponer grandes perturbaciones para los Sistemas de Gestión ya implantados o que estén en proceso, llegando incluso en algunos casos a rebajar los requisitos y en otros dando cumplimiento a las mejoras demandadas por los principales actores implicados en un SGSI. Por otra parte, la alineación con el negocio y el acercamiento demostrable a sus necesidades reales adquieren un peso relativo importante, fijando un marco global para la Seguridad de la Información. Además existirá un notable impacto relacionado con la actualización de controles del anexo A / ISO27002, tan necesaria debido a la aparición de nuevas tecnologías y servicios, que implicará la adecuación de herramientas de gestión y el plan de gestión del riesgo.