La información tiene una importancia fundamental para el funcionamiento y la supervivencia de las empresas, ¿pero de qué les sirve a éstas contar con una certificación en ISO27001? ISO27001 ayuda a gestionar y proteger uno de los principales y más valiosos activos que posee toda organización, la información.
La norma se ha creado para garantizar la selección de controles de seguridad adecuados y proporcionales. Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI).
Dichos controles ayudan a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.
ISO/IEC 27001 es una norma adecuada para cualquier organización grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en los sectores público, finanzas, sanidad y tecnologías de la información (TI).
Dicha norma también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI, porque puede utilizarse para garantizar a los clientes que su información está protegida.
Algunos cambios clave en el estándar son:
• Cambios a la terminología utilizada. Ahora se utilizará política de seguridad de la información en lugar del término política SGSI.
• El término “acciones preventivas” se ha reemplazado por “medidas para hacer frente a riesgos y oportunidades”.
• Se hace mayor énfasis en el establecimiento de objetivos, la supervisión del rendimiento y las métricas.
La enorme importancia de las partes interesadas, que pueden incluir a los accionistas, autoridades (incluidos los requisitos legales y reglamentarios), clientes, socios, entre otros; se reconoce en la nueva norma ISO 27001. Hay una cláusula independiente que especifica que todas las partes interesadas deben estar en la lista, junto el resto de los requerimientos.
Los conceptos “documentos” y “registros” se combinaron, de modo que ahora se denomina “información documentada”.
Los activos, las vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos, sólo se requiere identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. Aunque esto puede parecer un cambio demasiado radical, los autores de la nueva norma quieren permitir una mayor libertad en la forma en que se identifican los riesgos, pero se asume que la metodología de activos-vulnerabilidad-amenazas se mantendrá como una buena práctica por mucho tiempo.
Las acciones correctivas y preventivas:
Uno de los cambios más importantes es que ya no hay medidas preventivas, por lo menos no a primera vista. Básicamente, se fusionaron en la evaluación del riesgo y el tratamiento, al que naturalmente pertenecen.
Con respecto al anexo de controles, se ha reducido la cantidad de 133 a 113, algunos de ellos han sido eliminados, otros han sido fusionados y se han integrando nuevos.
La nueva norma ISO 27001 pretende ser más fácil de integrar con otras normas como ISO 9001, ISO 22301, ISO 20000 y también deja una mayor libertad para las empresas (especialmente las pequeñas) para escalar el SGSI a sus necesidades reales y así evitar una sobrecarga innecesaria. Sin embargo, esto también puede llegar a ser la mayor debilidad de esta nueva norma: a causa de sus definiciones sueltas, algunas empresas pueden tratar de centrarse en la satisfacción de los requisitos mínimos en lugar de centrarse en aumentar la seguridad. En otras palabras, para las empresas que tienen buenas intenciones y realmente quieren aumentar su nivel de seguridad será más fácil ahora cumplir con el estándar.
Mario Ureña, Instructor de BSI
