A finales de 2013 salió publicada la nueva versión de la norma ISO/IEC 27001:2013, el estándar por excelencia de la Gestión de la Seguridad de la Información, norma que por ejemplo en España ya cuenta con cerca de 700 certificaciones en diversas empresas, sobre todo del sector TIC y que se ha convertido en una verdadera herramienta para mejoras algunas empresas TI, dando valor en mercado y haciendo que esta certificación se convierta en un auténtico must para algunos proveedores de servicios en la nube.

Fuera de un análisis más profundo, que publicaremos más adelante, y dirigido esta primera entrada a profesionales del sector, podemos resaltar 7 novedades de la nueva versión del estándar, tras las primeras experiencias de formación y consultoría en empresas y con la opinión de diversos profesionales:

  1. El proceso de Análisis de Riesgos más sencillo y real. Uno de los grandes mitos de la ISO 27001 es que Magerit y Pilar son herramientas indispensables. Más bien y como opinión del autor, suponen un riesgo porque muchos análisis de riesgos realizados en empresas certificadas no aportan ningún valor y hasta en ocasiones descuidan las acciones más relevantes que se deben implementar. La versión 2013 nos da la luz a un proceso donde se identifican riesgos y oportunidades, es decir la famosa acción correctiva identificada en auditoría pasa a formar parte del análisis de riesgos, dando pie a otra norma ISO 31500.
  2. El nuevo concepto de LIDERAZGO. No es necesario ni comité ni parafernalias administrativas, lo importante es que alguien en la organización lidere la gestión de la seguridad, el CISO
  3. Lenguaje ITIL. La nueva norma respira conceptos de Operación, Support, Configuración, etc. un lenguaje total de la gestión de servicios que junto al nuevo Anexo SL de las normas de gestión se abandona un poco el famoso espíritu PDCA para dar paso a una gestión por procesos más real en la empresa.
  4. La Comunicación de la Seguridad, un requisito. Dentro del nuevo apartado de Support aparece la comunicación de la seguridad como un hito obligatorio a realizar sobre las partes interesadas del sistema de seguridad. Anteriormente era un punto de la mejora contínua, pero éste era uno de los GAP identificado en muchas auditorías donde ni siquiera se identificaba este punto.
  5. Menos controles, más dominios de control, como la gestión de Proveedores (suministradores) como uno de los focos principales para transmitir seguridad. Lo malo es que cambian completamente los números, haciendo un trabajo de gestión en las actuales declaraciones de aplicabilidad.
  6. La definición de objetivos en base a la Política, con una gestión de indicadores y elementos de gestión.
  7. Gestionar la ISO 27001 como un proyecto, uno de los nuevos controles de la Declaración de aplicabilidad que nos da la pista definitiva que se deben gestionar recursos, personas, tareas, calendarios, etc. Es decir poner la palabra “proyecto” en algo que desde los inicios de las normas ISO le llamaban “sistema de gestión” y que alguno no sabía todavía definir

Continuaremos hablando de la norma ISO 27001:2013 con más detalles.

blogimg-15

7 comentarios
Profile Status
ACTIVE