Los anexos de la ISO 27001 incluyen información relevante sobre lo que no debe olvidarse para gestionar la seguridad de la información. Si bien esta gestión no está necesariamente ligada a la certificación de una norma particular, el hecho de conocer y entender las mejores prácticas existentes en el mercado da una visión completa del camino que debería seguirse. Hace una semana en un post mencionamos que la norma ISO 27000:2013 fue oficialmente publicada, incluyendo algunos cambios para gestionar la seguridad de la información, ahora vamos a profundizar en los cambios de los anexos, uno de los aspectos más relevantes dentro de esta norma.
Como ya mencionamos, la nueva estructura del Anexo A agrega 3 dominios de control, los cuales incluyen un total de 113 controles, 20 menos que en la versión anterior. Dentro de los nuevos dominios de control aparece Criptografía, siendo separada del dominio Adquisición, desarrollo y mantenimiento de la información. El segundo dominio de control adicional es Relación con proveedores, y el tercero es resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios: Operaciones de seguridad y Seguridad de las comunicaciones.
Si bien los cambios del Anexo A no han sido radicales, si es importante que las empresas que utilicen este estándar como guía o aquellas que estén certificadas revisen los cambios para ajustar sus declaraciones de aplicabilidad (SOA) y ajustar los pequeños GAP que puedan tener entre las dos versiones.
Similar a lo que ocurría en la versión anterior, el Anexo A refleja los controles que están descritos en la norma ISO-IEC 27002. Lo interesante es que las empresas que quieran certificarse con esta norma ya no están obligados a implementar todos los controles de este anexo. Por lo que este se convierte en una guía para evitar que se omitan controles importantes por parte de la organización al momento de implementar su sistema de gestión (SGSI). Esta nueva característica, le brinda mayor flexibilidad a las empresas para implementar de la manera más adecuada el sistema de gestión.
Otro de los cambios interesantes dentro de esta nueva versión, es la adopción del Anexo SL (lo que era antes la Guía ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gestión genérico; ayudando a las empresas que por alguna razón deben certificar múltiples normas de sistemas de gestión. De esta forma ISO 27001 cumple con los requisitos comunes a todo sistema de gestión, facilitando la implementación y auditoria de varios sistemas en la misma organización.
Más allá de los cambios en el estándar, lo más importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben ser interpretados de acuerdo al contexto de cada empresa.
