Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Transcripción

1 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue oficializado el 15 de Octubre del año 2005, esta en proceso de desaparición. El denominado Grupo de Trabajo 1, parte del Joint Technical Committee 1, de la Organización Internacional de Normalización (ISO), el 1 de Octubre del 2013, emitió el nuevo ISO/IEC 27001:2013. Las empresas estarán regidas por los organismos acreditadores para efectuar la respectiva migración al nuevo estándar, el cual es usualmente de unos dieciocho meses. Luego de este tiempo, el ISO 27001:2005, quedará en la obsolescencia. La primera versión publicada fue el Draft International Standard (DIS), realizada el 16 de Enero del La versión Final Draft International Standard (FDIS, fue publicada el 9 de Julio del A continuación en este ensayo, se le presentará al lector la nueva estructura del estándar, los nuevos cambios y algunas recomendaciones. Aspectos Generales del ISO/IEC 27001:2013 Este nuevo estándar ha sido redactado en concordancia con el Anexo SL, anteriormente el lineamiento ISO 83. Este anexo da los lineamientos y estructura que todos los estándares deben seguir. El primer estándar redactado siguiendo esta estructura es el ISO 22301:2012. A lo largo del estándar ya no se hace hincapié en el ciclo Deming (plan- do- check- act). El modelo esta implícito en la estructura. Un aspecto interesante, es que las definiciones de la versión 2005, han sido removidas y ubicadas en el ISO Se encuentran cambios en la terminología utilizada, con el estándar anterior. Vale mencionar, que ya no existe el término acción preventiva. Este término ha sido reemplazado con acciones a atender, riesgos y oportunidades. Se encuentra que los requerimientos de evaluación 1

2 del riesgo son mas generales. La declaración de aplicabilidad mantiene los mismos requerimientos, pero con mas claridad. El estándar presenta mayor énfasis en establecimiento de objetivos, monitoreo del desempeño y métricas. Nueva Estructura En la Figura Nª 1 se tiene la nueva estructura de la sección metodológica, la cual comprende las secciones de la cuatro a la diez. Estructura de las Secciones.- Ha habido una serie de cambios. En el caso de criptografía, se ha convertido en una nueva sección, ahora estará en la sección 10, es lógica y ya no es parte de Adquisición, Desarrollo y Mantenimiento de Sistemas de. Algo similar ha sucedido con Relaciones con Suplidores. Ahora serán la sección 15. La sección Comunicaciones y Gestión de Operaciones, esta dividida en Seguridad de Operaciones en la sección 12 y Seguridad de Comunicaciones que se ubica en la sección 13. Ubicación de las Categorías de Seguridad Las categorías de los controles se han mezclado un poco, con miras a buscar mas orden. Así tenemos que Computación Móvil y Trabajo a Distancia, anteriormente ubicada en Control de Accesos, ahora estará en la 6.2, como parte de la sección 6 Organización de la Seguridad de la. Manejo de Medios de anteriormente era parte de la sección A.10 Gestión de Comunicaciones y Operaciones, ahora esta ubicada en la sección 8.3 como parte de Gestión de Activos en la sección 8. Control de Acceso al Sistema Operativo y Control de Acceso a las Aplicaciones e, se han juntado en la sección 9.4 bajo el nombre de Control de Accesos y Aplicaciones del Sistema, permaneciendo en la sección 9, bajo Control de Accesos. Control del Software Operativo, era anteriormente un control aislado en la sección Adquisición, Desarrollo y Mantenimiento de sistemas de, ahora es una categoría separada en la sección 12.5 como parte de la sección Seguridad de Operaciones Consideraciones para Auditorias de Sistemas de, ha sido movido a Cumplimiento, a la parte 12.7, como parte de la sección de Seguridad de Operaciones La categoría denominada Control de Acceso a la Red ha sido eliminada, y algunos de sus controles han sido desplazados a la sección 13 Seguridad en las Comunicaciones. Transferencia de, previamente llamada Intercambio de, es ahora el control 13.2, parte de la sección 13 Seguridad en las Comunicaciones. 2

3 La controversial categoría Procesamiento Correcto en las Aplicaciones ha sido eliminada. Servicios de Comercio electrónico ya no existe como categoría separada, los controles se han juntado en la sección 14.1 Requerimientos de Seguridad de Sistemas de. Dos categorías de la sección Gestión de Incidentes de Seguridad de se han juntado en una sola. Hay un nuevo cambio la sección 17.2 Redundancias. Esto básicamente trata la problemática de Recuperación ante Desastres. Esta relacionada con continuidad del negocio. Figura Nº 1 Nueva Estructura Parte Metodológica A continuación se hará una breve explicación de los aspectos mas relevantes de las secciones de la parte metodológica de la norma: 3

4 4. Contexto de la Organización La cláusula 4 requiere que la organización determine sus aspectos internos y externos Existe un claro requerimiento de considerar a las partes interesadas y sus requerimientos. Los requerimientos de las partes interesadas pueden incluir requerimientos contractuales y/o regulatorios. Esto determinara su política de seguridad de información sus objetivos y como se considera el riesgo y el efecto del riesgo en la firma. Se requiere una adecuada consideración del alcance para el SGSI 5. Liderazgo La cláusula 5 del estándar resume los requerimientos específicos del rol de la alta gerencia en el SGSI. El nuevo estándar requiere que el liderazgo de la alta gerencia sea mas demostrable y activo. La política del SGSI ahora se denomina política de seguridad de información, sigue igual que en la versión anterior. La cláusula 5 contiene requerimientos para que la alta gerencia asegure que las responsabilidades y autoridades para roles relevantes a la seguridad de información sean asignados y comunicados. Cómo la Gerencia Demuestra su Compromiso Asegurando que las políticas y objetivos están establecidos Asegurando la integración de los requerimientos del ISO Asegurando que los recursos necesarios están disponibles Comunicando la importancia de la conformidad de los requerimientos del SGSI Asegurando que los resultados del SGSI sean alcanzados Apoyando y dirigiendo a las personas a que contribuyan con la efectividad del SGSI. Promoviendo la mejora continuada Apoyando a otros gerentes a demostrar liderazgo. 4

5 6. Planeación Nueva sección relacionada al establecimiento de objetivos de seguridad de información y principios guías para el SGSI como un todo. Cuando se planifica el SGSI el contexto de la organización debe considerarse mediante los riesgos y oportunidades. Los objetivos de seguridad de información deben estar claramente definidos con planes para alcanzarlos. La valuación del riesgo es mas genérica reflejando un alineamiento del ISO/IEC con el ISO Los requerimientos de la declaración de aplicabilidad mayormente no ha sufrido cambios. 7. Soporte La cláusula 7 detalla los requerimientos de apoyo para establecer, implementar y mantener la mejora continuada y un eficaz SGSI, incluyendo: 1. Requerimientos de recursos 2. Competencias del personal involucrado 3. Toma de conciencia y comunicación con partes interesadas 4. Requerimientos para la gestión de documentación. El nuevo estándar se refiere a información documentada en vez de documentos y registros y requiere que se retengan como evidencia de competencia. Ya no existe una lista de documentos que se deben tener La nueva revisión pone énfasis en el contenido en vez que el nombre. 8. Operación ISO/IEC requiere que la organización planifique y controle la operación de los procesos necesarios para alcanzar los requerimientos de seguridad de información, incluyendo: 1. Manteniendo documentos 2. Manejando el cambio 3. Respondiendo a eventos adversos 4. El control de procesos tercerizados (outsource) La planeación operativa y el control exige: 1. Llevar a cabo valuación de los riesgos de seguridad de información a intervalos planificados 5

6 2. La implementación de planes de tratamiento del riesgo 9. Evaluación del Desempeño Las auditorias internas y las revisiones gerenciales siguen siendo métodos claves para la revisión del desempeño del SGSI y herramientas para su continuo mejoramiento. Los nuevos requerimientos para la medición de la eficacia son mas específicos y mas amplios que en la versión 2005 la cual se refería a la efectividad de los controles. Para asegurar su continua idoneidad, adecuación y eficacia, la gerencia debe considerar cambios en los aspectos internos y externos. 10. Mejoramiento La organización debe reaccionar a cualquier no conformidad identificada, tomar acción para controlar y corregirla y tratar las consecuencias. No conformidades del SGSI deben ser tratadas con acciones correctivas para asegurar que no haya recurrencia o ocurra en otro lugar. Como con todos los sistemas de gestión la mejora continua es un aspecto fundamental requerido por el estándar. Anexo de la Norma En el anexo A, ha habido una serie de cambios. Las secciones en el anexo A de la nueva versión han aumentado a 14 en vez de 11 que tenia la versión Así mismo el número de controles ha disminuido de 133 a 113. Las organizaciones tendrán que revisar con mucho detalle su declaración de aplicabilidad y hacer los ajustes requeridos. En la Figura Nº 2 se tienen los 14 dominios del Anexo A. El nuevo Anexo A presenta los siguientes controles que antes no existian: A Seguridad de información en gestión de proyectos A Restricciones en la instalación de software A Seguridad en el desarrollo de política A Principios de seguridad en ingeniería de sistemas A Ambiente seguro de desarrollo 6

7 A Prueba de seguridad del sistema A Política de seguridad de información para relaciones con suplidores A y tecnología de comunicación en la cadena de suministros. A Valuación de y decisiones en eventos de seguridad de información A Respuesta a incidentes de seguridad de información A Disponibilidad de instalaciones para procesamiento de la información. Figura Nº 2 Dominios del Anexo A 7

8 En la Tabla Nº 1, se presenta la relación existente entre los controles del Anexo A de la versión 2005 con la del Notamos que han aparecido nuevos controles pero se mantiene una gran correspondencia entre las dos versiones Tabla Nº 1 Relación entre Grupos de Control en el Anexo A ISO/IEC 27001:2005 ISO/IEC FDIS 27001: Política de Seguridad 5 Política de Seguridad 6 Organización de la Seguridad de la 6 Organización de la Seguridad de la 8 Seguridad de Recursos Humanos 7 Seguridad de Recursos Humanos 7 Gestión de Activos 8 Gestión de Activos 11 Control de Acceso 9 Control de Acceso 12 Adquisición de Sistemas de 10 Criptografía, Desarrollo y Mantenimiento 9 Seguridad Física y Ambiental 11 Seguridad Física y Ambiental 10 Comunicaciones y Gestión de 12 Seguridad de Operaciones Operaciones 12 Adquisición de Sistemas de, Desarrollo y Mantenimiento Seguridad en las Comunicaciones Adquisición de Sistemas, Desarrollo y Mantenimiento Relaciones con suplidores Gestión de Incidentes de Seguridad de 13 Gestión de Incidentes de Seguridad de 14 Gestión de Continuidad del Negocio 17 Aspectos de Seguridad de de la Gestión de Continuidad del Negocio 15 Cumplimiento 18 Cumplimiento Conclusiones La necesidad de asegurar seguridad en el manejo de la información en las empresas, nunca ha sido mayor que en la actualidad. El mundo cada día esta mas interconectado. La innovación en Tecnología de la es algo cotidiano. Todo esto hace que las amenazas crezcan en progresión aritmética y las vulnerabilidades organizacionales se 8

9 incrementan en progresión geométrica. La necesidad de hacer análisis de riesgo, establecer controles y hacerles seguimiento es algo prioritario en las empresas para poder dar confianza al mercado. La nueva versión ISO 27001:2013 continuará ofreciendo a los clientes y a organismos regulatorios la confianza que se tiene un sistema de gestión de seguridad de información, eficaz y confiable protegiendo la información y mitigando los riesgos. La versión ISO 27001:2013, es mas fácil de entender, sin ser sencilla su implantación. Siempre se requerirá un buen entendimiento de los principios de seguridad de la información. Las empresas que tienen implantado el modelo y lo han certificado, deberán a la brevedad posible iniciar su proyecto de migración a la nueva versión. 9