Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información
ISO/IEC 27001:2013
Oscar F. Giudice
ISO/IEC 27001:2013
Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la
Información
Oscar F. Giudice
Estructura de la Norma
• Común a todas las normas ISO
Facilita la interpretación de distintas normas y la implantación conjunta
– Se alinea con el anexo SL de las directivas de ISO/IEC
– Ej: ISO 22301:2012 (gestión del continuidad del negocio)
– Se espera que las futuras versiones de ISO 9001 e ISO 20000 adopten esta estructura
Oscar F. Giudice 3
Anexo SL
• La publicación del Anexo SL, sustituye a la Guía 83
• El Anexo SL define la estructura y el formato común para todas las nuevas normas de sistemas de gestión ISO y revisiones de las normas existentes. – No alterará los requisitos de las normas.
– Ayudará a normalizar los enfoques lingüísticos y de gestión.
Oscar F. Giudice 4
Anexo SL, estructura de alto nivel
# Cláusula
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
5 Liderazgo
6 Planificación
7 Apoyo
8 Operación
9 Evaluación del desempeño
10 Mejora
Oscar F. Giudice 5
Estructura de la Norma
• Desaparecen las definiciones existentes en la versión 2005
Garantiza la coherencia en los términos y definiciones de toda la familia 27000
– Se eliminaron las irrelevantes
– Las relevantes se pasaron a la ISO/IEC 27000
– Gestión del Riesgo alineada con ISO 31000
Oscar F. Giudice 6
Estructura de la Norma
• Enfoque basado en procesos Se reconoce como un requisito importante la mejora continua y se posibilita el uso de otros modelos distintos al PDCA (Plan, Do, Check, Act) – Se elimina la sección de la norma que hace referencia
al enfoque basado en procesos. – El modelo PDCA no se referencia explícitamente en la
nueva norma, sin embargo, está allí como un modelo de mejora.
– Los diferentes elementos de PDCA se distribuyen dentro de la estructura de la norma.
Oscar F. Giudice 7
Estructura de la Norma
• Nuevos criterios – Da mayor importancia al cumplimiento de todos
los requisitos, al momento de realizar la implementación completa del SGSI.
– El orden de aparición no es orden en que se deben implantar los requisitos.
– Focalizada en establecer objetivos, realizar seguimiento y mediciones.
– Compromiso de la dirección se centrado en el “Liderazgo”
Oscar F. Giudice 8
Tabla de contenido I
2005
1 Introducción
2 Objeto
3 Referencias Normativas
4 SGSI
5 Responsabilidad de la dirección
6 Auditoría Interna
7 Revisión de la Dirección
8 Mejora
2013
1 Introducción
2 Objeto
3 Referencias Normativas
4 Contexto de la Organización
5 Liderazgo
6 Planificación
7 Soporte
8 Operación
9 Evaluación de Desempeño
10 Mejora
Oscar F. Giudice 9 ‹#›
Tabla de contenido I
2005
4 SGSI
4.1 General
4.2 Implementar y Operar
4.3 Documentar
2013
1 Introducción
2 Objeto
3 Referencias Normativas
4 Contexto de la Organización
5 Liderazgo
6 Planificación
7 Soporte
8 Operación
9 Evaluación de Desempeño
10 Mejora
Oscar F. Giudice 10 ‹#›
Clausulas y Requisitos
Versión 2005 Versión 2013
Requisitos 102 130
Clausulas De la 4 a la 8 De la 4 a la 10
• Se reorganiza el número de clausulas
• Se crean nuevas secciones
Oscar F. Giudice 11
Dominios y Controles
Versión 2005 Versión 2013
Dominios De A.5 a A.15 De A.5 a A.18
Controles 133 114
• Los cambios en los controles siguen a la ISO/IEC 27002:2013
• Controles: se mantienen 94, eliminados 39, se incorporan 20
Las organizaciones deben “determinar” los controles necesarios, para el tratamiento de riesgos. Afín de no
olvidar ningún control importante, los controles seleccionados, deben compararse con el Anexo A.
Oscar F. Giudice 12
Dominios de Seguridad
11 D
om
inio
s d
e Se
guri
dad
A.5 Políticas de seguridad de la información
A.6 Organización de la seguridad de la información
A.7 Gestión de activos (AI)
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Gestión de comunicaciones y operaciones
A.11 Control de acceso (Lógico)
A.12 Adquisición, desarrollo y mantenimiento de sistemas
A.13 Gestión de incidentes de seguridad de información
A.14 Gestión de la continuidad de negocio
A.15 Conformidad
Oscar F. Giudice 13
Dominios de Seguridad
14
Do
min
ios
de
Segu
rid
ad.
A.5 Políticas de seguridad de la información
A.6 Organización de la seguridad de la información
A.7 Seguridad de los recursos humanos
A.8 Gestión de activos
A.9 Control de accesos
A.10 Criptografía
A.11 Seguridad física y ambiental
A.12 Seguridad en las operaciones
A.13 Seguridad en las comunicaciones
A.14 Adquisición, desarrollo y mantenimiento de sistemas
A.15 Relación con proveedores
A.16 Gestión de incidentes de seguridad de la información
A.17 Aspectos de SI dentro de la continuidad del negocio
A.18 Conformidad Oscar F. Giudice 14
Conclusiones
• Facilita la integración de Sistemas de Gestión
• Aparece un vocabulario homogéneo
• Facilita la auditoría
• Mayor compromiso de la dirección “liderazgo del proceso”
• Mejora en la gestión de riegos (Gestión de Riesgos Estratégica)
Oscar F. Giudice 15
ISO/IEC 27001:2013 para
• Enfrentar la ciber-delincuencia y proteger el negocio.
• Recuperarse de desastres • Minimización del riesgo al que se ve expuesta la
información • Mejorar el gobierno corporativo Reduciendo la
exposición financiera resultante de fallas en las TICs.
• Alineamiento la Gestión de Riesgos de TI con las Gestión de Riesgos Empresarial.
Oscar F. Giudice 16
Oscar Giudice TecnoIntegración
Más de 30 años de experiencia en electro-tecnologías: Informática, Telecomunicaciones, Electrónica
Actividad Actual • Responsable de Infraestructura TIC en DINAMA - MVOTMA (Dirección Nacional de Medio Ambiente del Uruguay) • Director de TecnoIntegración
Áreas de expertise • Seguridad de la Información • Bussines Continuity & Disaster recovery • Infraestructura TICs
Países de operación • Argentina y Uruguay
Asociaciones • Director CCAT-Lat (asociación civil internacional sin fines de lucro)
• Vicepresidente ISSA Capítulo Uruguay (2012-2014) (Information Systems Security Association)
• Miembro del Comité de Seguridad de la Información Instituto Uruguayo de Normas Técnicas (UNIT)
• IEEE Sección Argentina - 1990 al 1992 (Institute of Electrical and Electronics Engineers)
• COPITEC Matrícula Nro. T-2479