ISO/IEC 27001:2013 – Sistema de Gestión de Seguridad de la Información (SGSI) – Requisitos

Introducción

La norma ISO/IEC 27001:2005 especifica formalmente un Sistema de Gestión de Seguridad de Información (SGSI), un conjunto de actividades relativas a la gestión de riesgos de información (llamado “los riesgos de la seguridad de la información” en el estándar).

El SGSI es un marco de gestión global a través de la cual la organización identifica, analiza y aborda los riesgos de su información.

El SGSI asegura que las medidas de seguridad son afinadas para mantener el ritmo de los cambios a las amenazas de seguridad, vulnerabilidades y los impactos empresariales – un aspecto importante en un campo tan dinámico, y una ventaja clave de ISO27k’s flexible del enfoque de riesgo en comparación con, por ejemplo, PCI-DSS.

La norma cubre todos los tipos de organizaciones (i.e., empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro), de todos los tamaños (desde las microempresas hasta las grandes multinacionales), y todos los sectores o mercados (por ejemplo, banca minorista, defensa, salud, educación y gobierno). Esto solo por resumir de una muy amplia.

HISTORIA

La norma ISO/IEC 27001 se deriva de la Parte 2 del BS 7799, publicado por primera vez como tal por el British Standards Institute en 1999.

La Parte 2 del BS 7799, fue revisada en 2002, incorporando explícitamente el ciclo Deming-style Plan-Do-Check-Act.

La Parte 2 del BS 7799 fue aprobada como ISO/IEC 27001 en 2005, con diversas modificaciones para reflejar sus nuevos custodios.

ISO/IEC 27001:2005 fue extensamente revisada en el 2013, hasta situarla en línea con las otras normas de sistemas de gestión ISO y colocando una referencia explícita al PDCA.

Estructura de la Norma

ISO/IEC 27001:2013 tiene las siguientes secciones:

0 Introducción – La norma describe un proceso sistemático para la gestión de la información de riesgos.
1 Ámbito de aplicación – Especifica requisitos genéricos de ISMS adecuado para organizaciones de cualquier tipo, tamaño o naturaleza.
2 Referencias normativas – sólo ISO/IEC 27000 se considera absolutamente esencial para los usuarios de ‘27001: las restantes normas ISO27k son opcionales.
3 Términos y Definiciones – en referencia a la norma ISO/IEC 27000.
4 Contexto de la organización – la comprensión del contexto de la organización, las necesidades y expectativas de las “partes interesadas” y definir el alcance del ISMS. Sección 4.4 establece claramente que “La organización debe establecer, implementar, mantener y mejorar continuamente” el ISMS.
5 Liderazgo – la alta gerencia deben demostrar el liderazgo y el compromiso con los SGSIs, el mandato de la política y la asignación de roles, responsabilidades y autoridades para la seguridad de la información.

6 Planificación – describe el proceso para identificar, analizar y planificar para tratar los riesgos, información y aclarar los objetivos de seguridad de la información.
7 Soporte – adecuado, se deben asignar recursos competentes, la concientización, la documentación preparada y controlada.
8 Operación – un poco más de detalle acerca de la evaluación y el tratamiento de la información de riesgos, gestión de cambios y documentar las cosas (en parte, a fin de que puedan ser comprobados por los auditores de certificación).
9 Evaluación del desempeño – supervisar, medir, analizar y evaluar/auditoría/revisión de controles de seguridad de la información, procesos y sistemas de gestión, mejora sistemáticamente de las cosas cuando sea necesario.
10 Mejora – atender los resultados de las auditorías y revisiones (p. ej., las no conformidades y acciones correctivas), hacer mejoras continuas en el SGSI.

El Anexo A Referencia de los objetivos de control y controles – en realidad son poco más de una lista de los títulos de las secciones de control de la norma ISO/IEC 27002. El anexo es “normativo”, lo que implica que se espera de las organizaciones certificadas lo usen, pero el cuerpo principal dice que ellas son libres para apartarse del suplemento a fin de abordar los riesgos de información particular. El Anexo A es difícil de interpretar. Consulte la norma ISO/IEC 27002 para más detalles útiles sobre los controles, incluida la aplicación de orientación.

Bibliografía – dirige a los lectores a las cinco normas relacionadas, más la parte 1 de las directivas ISO/IEC, para obtener más información. Además, ISO/IEC 27000 es identificada en el cuerpo de la norma como normativa (es decir, esencial) estándar y hay varias referencias a la norma ISO 31000 sobre gestión de riesgos.

Requerimientos Mandatorios para la Certificación

La norma ISO/IEC 27001 es una especificación formalizada para un SGSI con dos fines diferentes:

  1. Establece el diseño de un SGSI, describiendo las partes importantes a un nivel bastante alto;
  2. Puede (opcionalmente) ser utilizada como base para la evaluación del cumplimiento formal por auditores de certificación acreditada para certificar una organización en cumplimiento.

La siguiente documentación obligatoria se requiere explícitamente para la certificación:

  1. El alcance del SGSI (según la cláusula 4.3)
  2. La política de seguridad de la información (cláusula 5.2)
  3. Proceso de evaluación de riesgos de la Información (cláusula 6.1.2)
  4. Proceso de tratamiento de riesgos de la Información (cláusula 6.1.3)
  5. Objetivos de seguridad de la información (cláusula 6.2)
  6. Evidencia de la competencia de las personas que trabajan en la seguridad de la información (cláusula 7.2)
  7. Documentos relacionados con otros SGSI considerados necesarios por la organización (cláusula 7.5.1b)
  8. Planificación operativa y los documentos de control (cláusula 8.1)
  9. Los resultados de las evaluaciones de riesgo [Información] (cláusula 8.2)
  10. Las decisiones sobre el tratamiento de riesgos [Información] (cláusula 8.3)
  11. Evidencia de la vigilancia y la medición de la seguridad de la información (cláusula 9.1)
  12. El SGSI programa de auditoría interna y los resultados de las auditorías realizadas (cláusula 9.2)
  13. Pruebas de exámenes de la gestión superior del SGSI (cláusula 9.3)
  14. Evidencia de no-conformidades identificadas y de las acciones correctivas derivadas (cláusula 10.1)
  15. Otros varios: el Anexo A menciona pero no especifica por completo la documentación adicional incluyendo las reglas para el uso aceptable de activos, control de acceso, procedimientos de operación, políticas de confidencialidad o de acuerdos de no divulgación, sistema seguro de principios ingeniería, política de seguridad de la información de las relaciones con proveedores, procedimientos de respuesta a incidentes de seguridad de la información, las reglas relevantes, los reglamentos y las obligaciones contractuales, además de los procedimientos de cumplimiento asociados y procedimientos de continuidad de la seguridad de la información. Sin embargo, a pesar de ser un anexo normativo, las organizaciones no están obligadas formalmente a adoptar y cumplir con el Anexo A: pueden usar otras estructuras y enfoques para tratar la información de sus riesgos.

Los Auditores para la Certificación seguramente comprobarán que estos quince tipos de documentación son (a) actuales y (b) se ajusten a un propósito.

La norma no especifica exactamente qué forma debería adoptar la documentación, pero en la sección 7.5.2 habla acerca de aspectos tales como los títulos, autores, los formatos, los medios, la revisión y aprobación, mientras que la sección 7.5.3 se refiere al documento de control bastante formal, lo que implica un enfoque de estilo ISO 9000. Documentación electrónica (como páginas de intranet) son tan buenas como los documentos en papel, de hecho mejor en el sentido de que son más fáciles de controlar y actualizar.

SGSI Alcance, y Declaración de Aplicabilidad (SOA)

Mientras que el estándar está intencionado para impulsar la implementación de un SGSI en toda la empresa, garantizando que todas las partes de la organización se benefician por atender sus riesgos de información de forma adecuada y de manera sistemática administrada, las organizaciones pueden alcanzar su SGSI tan amplios o tan estrechos como lo deseen -de hecho, la especificación es una decisión crucial para los altos directivos (cláusula 4.3).

El alcance documentado de un SGSI es uno de los requisitos obligatorios para la certificación. A pesar de que la “Declaración de Aplicabilidad” (SoA) no está definida explícitamente, es un requisito obligatorio de la sección 6.1.3.

La SoA se refiere a la salida de la información de las evaluaciones de riesgos y, en particular, las decisiones en torno al tratamiento de los riesgos. La SoA puede, por ejemplo, adoptar la forma de una matriz de identificación de riesgos de diversos tipos de información sobre un eje y opciones de tratamiento del riesgo en el otro, mostrando cómo los riesgos deben ser tratados en el cuerpo y, quizás, quién es responsable de ellos.

Generalmente hace referencia a los controles pertinentes de la norma ISO/IEC 27002, pero la organización puede utilizar un marco completamente diferente como NIST SP800-53, la ISF estándar, BMI y/o COBIT o un enfoque personalizado. Los objetivos de control de la seguridad de la información y los controles de la norma ISO/IEC 27002 se proporcionan como una lista de control que figura en el anexo A con el fin de evitar ‘vistas’ de los controles necesarios: que no son requeridos.

El alcance del SGSI y SoA son cruciales si un tercero quiere adjuntar cualquier dependencia a la organización certificada con el cumplimiento ISO/IEC 27001. Si el alcance de una organización de ISO/IEC 27001 sólo incluye “Acme Ltd. Departamento X”, por ejemplo, el correspondiente certificado no dice absolutamente nada acerca del estado de la seguridad de la información en “Acme Ltd. Departamento Y” o incluso “Acme Ltd.” como un todo.

Del mismo modo, si por alguna razón la administración decide aceptar riesgos de malware sin implementar controles antivirus convencionales, los auditores de certificación puede impugnar esa audaz afirmación pero, siempre que el análisis y las decisiones asociadas sean sólidas, que por sí sola no sería justificación para negarse a certificar la organización ya que los controles antivirus en realidad no son obligatorios.

Métricas

En efecto (sin usar el término “métrica”), la edición 2013 de la norma exige la utilización de las mediciones en el rendimiento y la eficacia de la organización y controles de seguridad de la información de SGSI. La sección 9, “Evaluación del Desempeño”, exige que la organización determine e implemente métricas de seguridad adecuadas … pero sólo proporciona requisitos de alto nivel.

La norma 27004 ISO/IEC ofrece consejos sobre qué y cómo medir con el fin de satisfacer el requisito – un enfoque no muy distinto a la descrito en las Estadísticas de Seguridad Pragmáticas

Certificación

La certificación de conformidad con ISO/IEC 27001 por un organismo de certificación acreditado y respetado es totalmente opcional, pero cada vez más se exige a los proveedores y socios de negocio por parte de las organizaciones (¡con toda razón!) preocupadas por la seguridad de su información, y de la información acerca de la seguridad en toda la cadena de suministro o de la red.

Según la encuesta ISO para 2017, hay alrededor de 40.000 certificados ISO/IEC 27001 en todo el mundo, aumentando alrededor de 20% anual:

La Certificación aporta una serie de beneficios por encima y más allá del mero cumplimiento, de la misma manera que un certificado de la serie ISO 9000 dice algo más que “somos una organización de calidad”.

La evaluación independiente necesariamente trae rigor y formalidad al proceso de implementación (lo que implica mejoras en la seguridad de la información y todos los beneficios que aporta a través de la reducción del riesgo), y siempre requiere de la aprobación de la alta gerencia (lo cual es una ventaja en términos de concientización en seguridad, al menos!).

El certificado tiene potencial de comercialización, y demuestra que la organización toma seriamente la gestión de la seguridad de la información.

Sin embargo, como se señaló anteriormente, el valor del certificado de aseguramiento es altamente dependiente del alcance del SGSI y del SoA: en otras palabras, no ponga demasiada fe en el certificado de cumplimiento ISO/IEC 27001 de la organización si son altamente dependientes de la seguridad de la información.

De la misma forma que en que el cumplimiento de PCI-DSS no significa “Garantizamos proteger los datos de su tarjeta de crédito y otra información personal”, el cumplimiento de la certificación ISO/IEC 27001 es una señal positiva, pero no una garantía de hierro fundido sobre la seguridad de la información de una organización. Dice: “Tenemos un SGSI en cumplimiento en su lugar”, y no “Estamos seguros”. Esa es una distinción importante.

Estado de la norma ISO/IEC 27001

Fue completamente reescrita y re-publicada en Septiembre de 2013. Esto fue mucho más que ajustar el contenido de la edición 2005, ISO/IEC JTC1 insistió en cambios sustanciales para alinear esta norma con otras normas de sistemas de gestión que cubren la garantía de calidad, protección del medio ambiente, etc.

La idea es que los administradores familiarizados con cualquiera de los sistemas de gestión ISO entiendan los principios básicos que sustentan un SGSI. Conceptos tales como la certificación, política de incumplimiento, control de documentos, auditorías y exámenes de gestión internos son comunes a todas las normas de sistemas de gestión y, de hecho, los procesos pueden, en gran medida, ser estandarizadas dentro de la organización.

ISO/IEC 27001:2013 se encuentra disponible ahora desde los mercados habituales.

ISO/IEC 27002 fue revisada exhaustivamente y re-emitida al mismo tiempo, por lo tanto, el anexo A de la norma ISO/IEC 27001 también fue completamente actualizado.

Una errata técnica publicada en octubre del 2014 aclara que la información es, después de todo, un activo.

Una segunda corrección técnica fue publicada en diciembre de 2015, aclarando que las organizaciones están obligadas formalmente a identificar el estado de la ejecución de sus controles de seguridad de la información de la SOA.

La propuesta de una tercera corrección técnica parece haber saltado al escenario: el SC 27 está resistiendo la urgencia de llevar a cabo el ajuste de la norma publicada innecesariamente con cambios que deberían haber sido propuestos cuando estaba en el proyecto, y es posible que no sean aceptados de todos modos. Sin embargo, la inquietud planteada es válida: la norma confunde los riesgos de la información con los riesgos relacionados con el sistema de gestión.

Un periodo de estudio toma en cuenta el valor y la finalidad del Anexo A en relación a la SoA, concluyendo que el Anexo A es un vínculo útil a ISO/IEC 27002, pero la redacción del cuerpo principal debería ser mejorada para dejar claro que el Anexo A es totalmente opcional: los usuarios pueden elegir cualquier conjunto de controles que consideren apropiados para abordar los riesgos de su información y no necesitan ni siquiera consultar el Anexo A en su SOA. Al menos, esa es la propuesta para su discusión. Vamos a ver cómo resulta.

Una revisión sistemática de la 27001 se llevó a cabo, con comentarios de los órganos nacionales al 3 de diciembre de 2018.

Comentarios Personales

La confusión de la SC 27 sobre el significado de “información” de activos perdura: la decisión de dejar la definición de “activos” de información de la ISO/IEC 27000 en lugar de verdaderamente tratar este problema puede demostrar que ha sido un error táctico, especialmente después de haber revertido al término muy general de “activo”. Un ladrillo es un activo, mientras que hay áreas donde un smartphone de ladrillo es una responsabilidad.