Sistema de Gestión de Seguridad de la

Información
La norma ISO 27001 se convierte en una herramienta muy importante para las
organizaciones, ya que estas gastan millones de dólares en firewalls y dispositivos de
seguridad, pero para este dinero se encuentre bien invertido se debe tener en cuenta que
las personas encargas de utilizar y administrar los equipos tienen la suficiente formación.

La ISO y sus principios de gestión

Hablamos de una federación mundial de organismos nacionales de normalización que se
encuentran en unos 160 países, llega a trabajar a nivel de Comités Técnicos y tienen al
menos 19000 estándares publicados desde el año 1947.

Su trabajo se centra en función a 8 principios básicos de gestión:

1. Orientación al cliente.
2. Liderazgo.
3. Participación del personal.
4. Enfoque de procesos.
5. Enfoque de sistemas de gestión.
6. Mejora continua.
7. Enfoque de mejora continúa.
8. Relación mutuamente beneficiosa con el proveedor.

La norma ISO y sus estándares

 El incremento tan grande de demanda de las organizaciones por implementar Sistemas de Gestión
aumento el número de estándares de ISO, por lo que nacieron muchas normas como pueden ser ISO
9001, ISO 27001, ISO 22301, ISO 20000, etc. Los estándares ISO se pueden aplicar en cualquier
tipo de organización, independientemente de su tamaño, situación geográfica, etc.

La ISO y cómo nace la norma ISO 27001:2013

Los estándares ISO se revisan cada 4 o 5 años. Muchos de los contorles que se realizan de la norma
ISO 27002 se encuentran obsoletos. Se crea la necesidad de integrar los Sistemas de Gestión por lo
que nace el Anexo SL.

El proyecto de revisión de la norma ISO 27001:2013 se aprobó en mayo 2009 mediante un artículo
en el New Work Item (NWI). Los primeros 3 borradores de trabajo conservaban la estructura de la
edición anterior de la norma. La estructura común y el texto básico que conocemos en la actualidad
aplican el draft 4 pese a la oposición de varios organismos nacionales. En el año 2012 el Consejo de
Gestión Técnica de ISO (TMG) decidió que la norma ISO 27001 tenía que seguir la nueva
estructura, aunque las desviaciones justificadas se admitieran. Se crean alianzas para elevar el nivel
de abstracción, sin embargo la alianza para dejar caer la Declaración de Aplicabilidad fallo. Se
intentó acabar con el proyecto en multiples ocasiones, pero no se consiguió.

La evolución de la norma ISO 27001

 1998: BS 77779-2

 2002: BS-7799-1
 2005: ISO/IEC 27001:2005
 2013: ISO/IEC 27001:2013

Anexo SL
Integrar las normas y términos comunes

 ISO 30301:2011: Información y Documentación – Sistemas de Gestión de Documentos – Requisitos

(armonizado con el anexo SL).
 ISO 22301:2012: La seguridad societaria – los Sistemas de Gestión de Continuidad de Negocio –
Requisitos (armonizado con el anexo SL)
 ISO 20121:2012: Sistemas de Gestión de la Sostenibilidad de Eventos- Requisitos con Orientación
para su uso (armonizado con el anexo SL)
 ISO 27001:2013: Sistemas de Gestión de la Seguridad de la Información.

ISO 27001:2005 y la ISO 27001:2013

 Las ventajas y las desventajas que presenta la nueva ISO 27001:2013.

Las ventajas son las siguientes:

 Mejora la integración con otros Sistemas de Gestión, ya que se encuentra con la estructura de alto
nivel (Anexo SL), donde los términos y las definiciones ayudan a implementar.
 Todas las defunciones que encontramos en el estándar ISO 27001 y las inconsistencias se han
eliminado.
 Los riesgos en la Seguridad de la Información debe ser abordada en su conjunto.
 Todos los documentos que se encuentran requeridos están claramente establecidos y hacen
referencia, tanto al tamaño de la organización como a la complejidad de esta.
 Se mencionan todas las acciones preventivas que no existían anteriormente.

Las desventajas de la norma ISO 27001 son:

 Es una abstracción y es un nivel alto, que no se encuentran detallados.
 Todos los requisitos son un tanto más difíciles de interpretar, ya que se incorporan nuevos
conceptos.
 No se menciona en ningún momento en toda la norma el enfoque que se le dá al PDCA.
 No se mencionan en ningún momento las políticas dentro del Sistema de Gestión de Seguridad de la
Información.
 No podemos encontrar una descripción detallada de la identificación de los riesgos.

Diferencia entre la ISO 27001:2005 y la ISO 27001:2013

La ISO 27001:2005 consta de:

 5 Clausulas

 178 requerimientos
 El anexo A tiene 11 categorías de control (del 5 al 15)
 No menciona la ISO 31000 u otro estándar

La norma ISO 27001:2013 cuenta con:

 7 Clausulas: Las más resaltante es el contexto de la organización.

 154 requerimientos
 32 nuevos requerimientos
 El anexo A tiene 14 categorías de control (del 5 al 18)
 Menciona a la ISO 31000 en la cláusula 6.1 Acciones para la dirección de riesgos y oportunidades.

Los nuevos requerimientos de la norma ISO 27001:2013 que podemos destacar son:

 4.2. Entendiendo las necesidades y expectativas de la partes interesadas.

 4.3. Determinar los objetivos del SGSI.
 5.1. Liderazgo y compromiso.
 6.1. Acciones para direccionar los riesgos y las oportunidades.
 6.2. Los objetivos de seguridad de la información y la planificación para alcanzarlos.
 7.3. Sensibilización.
 7.4. Comunicación.
 7.5. Información documentada.
 8.1. Planificación y control operativo.
 9.1. Seguimiento, medición, análisis y evaluación.
 10.1. No-conformidades y acciones correctivas.
Podemos encontrar un gran reto en la Gestión de la Seguridad de la Información con la nueva ISO
27001:2013, ya que los conceptos que debemos reforzar son: Partes interesadas, liderazgo,
comunicación, sensibilización, capacidades, propietario del riegos, activos, gestión de riegos y
oportunidades, entre muchos otros.

Se cuenta con un año para que las empresas que estén certificadas con la versión de ISO
27001:2005 se adapten a la nueva versión de ISO 27001.2013.

La norma ISO 27001:2013 cuenta con muchos menos controles de cantidad y en métodos hay
menos controles tecnológicos, aunque adicionalmente se cuenta con políticas de control más claras.

Todas las organizaciones que han realizado el esfuerzo de implantar la norma ISO 27001:2005,
deben tomas diferentes estrategias para alinear su implementación a la ISO 27001:2013.