La semana pasada tuve la oportunidad de participar, como representante de ESET en México, del segundo Congreso de Seguridad de la Información, organizado por el Instituto Politécnico Nacional (IPN), impartiendo el taller ‘Implementación del estándar ISO/IEC 27001:2013’.
En este taller planteamos varios objetivos a alcanzar, como conocer los conceptos básicos de seguridad de la información utilizados en la serie de estándares 27000, identificar los requisitos definidos en la nueva versión de ISO 27001, así como reconocer las principales diferencias entre las ediciones 2005 y 2013 de este estándar.
Como resultado, en esta publicación quiero compartirles algunas consideraciones abordadas en el taller, mismas que pueden ser tomadas en cuenta cuando se tiene como objetivo gestionar la seguridad de la información utilizando como base los estándares ISO.
Consideraciones para la familia de estándares 27000
Con anterioridad revisamos la serie de normas ISO 27000, mostrando la principal característica de cada documento. Sin embargo, en los últimos dos años estos estándares han tenido importantes modificaciones en su contenido, que a continuación revisaremos.
- ISO/IEC 27000
Una manera de comenzar la implementación de ISO/IEC 27001 puede ser a través de conocer este documento, que contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al sistema de gestión de seguridad de la información (SGSI), el proceso continuo que gestiona todos los esfuerzos de una organización, enfocados en proteger sus activos de información a través de la evaluación y tratamiento de riesgos de seguridad.
Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001 (cláusula 2). También, en este último todos los términos y definiciones han sido eliminados, únicamente haciendo referencia a este documento.
- ISO/IEC 27001
A diferencia de otros documentos de esta familia, ISO 27001 es certificable para las organizaciones que desean mostrar su compromiso con la protección de la información. En general, especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.
También incluye el Anexo A que se conforma de 14 dominios, 35 objetivos de control (una descripción de lo que se desea alcanzar con la aplicación de controles) y 114 controles de seguridad, que pueden ser seleccionados e implementados como parte del proceso de tratamiento de riesgos.
El Anexo B (principios de la OCDE) y Anexo C (correspondencia con los estándares ISO 9001 e ISO 14001) han sido removidos en la nueva edición. Este último debido a que se adopta la estructura del Anexo SL, que ofrece lineamientos para establecer un sistema de gestión genérico, correspondiente con los estándares que han sido revisados y actualizados, así como aquellos que se publicarán en el futuro.
- ISO/IEC 27002
El código de prácticas para controles de seguridad de la información provee una lista de objetivos de control y controles comúnmente aceptados, que busca servir como una guía para la implementación de los mismos.
A diferencia de la versión 2005 de ISO 27001, en la edición 2013 ya no es una referencia normativa, por lo que su uso es opcional. Aunque todavía es ampliamente recomendable, ahora otras fuentes de información pueden consultadas para la aplicación de los controles de seguridad.
- ISO/IEC 27004
Este estándar provee una guía enfocada en la medición y evaluación de la efectividad del sistema de gestión, de los objetivos de control y los controles, utilizados para gestionar la seguridad de la información de acuerdo con los requisitos de ISO/IEC 27001. Puede ser de mucha utilidad cuando la organización requiera dar cumplimiento a las cláusulas de evaluación de desempeño del SGSI.
- ISO/IEC 27005
La gestión de riesgos de seguridad de la información descrita en este estándar tiene como objetivo guiar a los usuarios durante la implementación de los requisitos en materia de evaluación y tratamiento de riesgos de ISO 27001.
Aunado al proceso de gestión de riesgos plasmado en este estándar, es necesario aplicar una metodología de evaluación de riesgos de seguridad, que permita en primer lugar definir los criterios de aceptación de los riesgos, determinar el impacto y la probabilidad de cada uno de estos, para elegir opciones de tratamiento conscientes, enfocadas en reducir los riesgos a un nivel aceptable, con base en los criterios previamente establecidos.
- ISO/IEC 27007
Este estándar proporciona una guía para llevar a cabo auditorías al SGSI y sobre las competencias que requieren los auditores. Tiene como base ISO 19011, que es el estándar utilizado para auditorías a sistemas de gestión de cualquier tipo. Sin duda, se trata de una referencia muy útil cuando se deba dar cumplimiento a la cláusula de auditorías internas de ISO 27001.
Con la revisión de estos documentos, podemos tener una mayor visión al momento de abordar los requisitos de ISO 27001, ya que como su nombre lo indica, se trata de guías que facilitan y complementan la implementación.
En este mismo sentido, también se puede consultar ISO/IEC 27003, el estándar orientado a proporcionar más información sobre la operación de cada uno de los elementos necesarios para estar en cumplimiento con la norma 27001.
Hasta este punto revisamos aspectos importantes de los documentos de la familia 27000. En posteriores publicaciones revisaremos otros elementos a tomar en cuenta cuando se trabaja con los estándares ISO durante la gestión de la seguridad de la información. Hasta entonces y ¡éxito en la implementación de su SGSI!