Por tratarse de un análisis extenso de la ISO 27001:2013 el informe se va a publicar en 4 entregas a lo largo de ésta y la próxima semana. ¡Esperamos que os resulte muy útil!

Tras unos días de vigencia de la nueva ISO 27001:20013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. Uno empieza con las buenas sensaciones desde el comienzo cuando ya en la cláusula 0 de forma explícita se inicia diciendo que “La adopción de un SGSI es una decisión estratégica de la Organización”. Esta generalización de la seguridad como un proceso relevante en la consecución de los objetivos de negocio de toda Organización se confirma cuando se indica que la misión del SGSI es preservar la integridad, disponibilidad y disponibilidad de la información aplicando un proceso de gestión del riesgo y generando confianza a las partes interesadas de que los riesgos son adecuadamente manejados.

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Voy a continuación a comentar mis impresiones sobre cada una de las cláusulas que forman el cuerpo de la norma tal como indica ahora explícitamente en el apartado Alcance de la cláusula 1. En cualquier caso, el gran cambio estructural de esta norma es que ya emplea el Anexo SL de ISO/IEC y que las definiciones de términos se vinculan a la ISO 27000. También aspectos específicos como la medición o las metodologías de análisis y gestión del riesgo se enlazan con las normas ya existentes de la serie ISO 27000.

En esta primera toma de contacto no entro todavía a valorar el Anexo A donde se han actualizado el actual marco de controles y donde también hay novedades en relación a las secciones de seguridad y la actualización de controles.

Cláusula 4. Contexto de la organización.

Esta cláusula está centrada en identificar quienes son los clientes o beneficiarios del SGSI. Para ello, la organización se debe plantear diferentes puntos de vista desde los que ver el porqué de las necesidades de seguridad y cuáles son los requisitos a garantizar. Todo ello se concreta en las siguientes subcláusulas.

 4.1 Entender la organización y su contexto.

Para todo SGSI  es vital entender nuestro modelo de negocio y nuestro entorno. Considerar todo aquello que puede condicionar el lograr los resultados de nuestro SGSI.

4.2 Entender las necesidades y expectativas de las partes interesadas.

También es crítico identificar quienes son nuestras partes interesadas internas y cuáles son sus necesidades respecto a la seguridad. En este sentido el alcance del SGSI puede o no cubrir todos los procesos de negocio de la Organización y en el caso de ser sólo una parte, tendrá como partes interesadas a otras áreas que serán “clientes” de la seguridad.

 4.3 Determinar el alcance del SGSI.

Con todas las reflexiones anteriores en esta cláusula se determina la creación del primero de los documentos que constituyen el SGSI, “el alcance del sistema”. Se deben establecer los límites del SGSI en el alcance que tiene que ser expresado en términos de:

1) asuntos internos y externos considerados en 4.1

2) requisitos identificados de esas necesidades.

3) interfaces y dependencias entre las actividades realizada por la organización y las que son realizadas por otras organizaciones.