webinar que puedes esperar de la nueva iso 27001:2013

Copyright © 2013 BSI. All rights reserved. Copyright © 2012 BSI. All rights reserved. 1

¿Qué puedes esperar de la nueva ISO 27001?

Basado en el Proyecto de Norma Internacional (DIS)

Presentado por:

Maricarmen García de Ureña

LA ISO27001, LA 22301, CBCP

México, D.F. a 26 de abril de 2013.

Copyright © 2013 BSI. All rights reserved. 2

Agenda

• ¿Qué es BSI?

• La evolución de ISO/IEC 27001 y 27002

• Estatus

• Crecimiento global en certificaciones

• La serie ISO/IEC 27000

• La estructura de ISO/IEC 27001 (DIS)

• Cambios clave

• Comparación entre ISO 27001:2005

y ISO 27001 (DIS)

• Disposiciones de la transición


¿Qué es BSI?

Fundada en

1901

Organismo

Nacional de

estándares en

Reino Unido

Organismo de

certificación # 1 en

Estados Unidos y

Reino Unido

+2500

personas

+ del 50% fuera

de Reino Unido

Ingresos por

244.9m de

libras al 2011

70,000

clientes en

150 países

53 oficinas

alrededor del

mundo

No accionistas/

Propietarios, todas las

utilidades son

reinvertidas en el

negocio

Organización

independiente, a

nivel global, de

servicios

empresariales

Normas y

publicaciones,

Capacitación,

Certificación,

Sistemas de

gestión


La evolución de ISO/IEC 27001 y 27002

BS 7799:1995

BS 7799-1:1999

BS ISO/IEC

17799:2000

El comité

internacional

decide cambiar de

número

2004: El comité del

Reino Unido decide

presentar ISO Fast

Track

El comité de ISO

decide cambiar de

número Ciclo normal de revisión

en ISO

1999: Comité

de Reino Unido

decide

presentar ISO

Fast Track Revisado en

Reino Unido

BS 7799-2 : 1999

Desarrollado para apoyar

la certificación

ISO/IEC 27001:

2005

BS 7799-2 - Certifficable

BS 7799-1 – No certificable ISO/IEC 27002:

2007

ISO/IEC

17799:2005

1995 2007 2005 2000


Estatus

• ISO 27001:2005 ha estado bajo revisión.

• El Proyecto de Norma Internacional (DIS) se dio a conocer a los Organismos

Nacionales de Normalización el 16 de enero 2013.

• La reunión del Comité ISO se encuentra en proceso considerada para el 22 al

30 de abril de 2013 después la cual serán emitidas las resoluciones.

• El día de ayer 25 de abril se aprueba en reunión plenaria “JTC1/SC27”, los

borradores del ISO/IEC 27001 y del ISO 2700 los cuales pasan del Proyecto

de Norma Internacional (DIS) al Proyecto Final de Norma Internacional (FDIS).

• La publicación está prevista para finales del 2013.


Crecimiento global en certificaciones

21%

40%

12%

Nú

mero

de C

ert

ific

ad

os


Nueva estructura de alto nivel

• ISO 27001 se ha desarrollado utilizando el Anexo SL

• El Anexo SL es para los escritores de normas y proporciona una prueba

estandarizada adecuada para todas las normas de los sistemas de gestión ISO

• La nueva estructura de la norma será igual a la de todas las normas del

sistema de gestión

• La intensión es estandarizar la terminología y requerimientos fundamentales

de un Sistema de Gestión


PAS 99:2012


Nueva estructura de alto nivel


La estructura de ISO/IEC 27001

4 Contexto de la

organización

Entendimiento de

la organización y

su contexto

Expectativas de

las partes

interesadas

Alcance de ISMS

ISMS

5 Liderazgo

Liderazgo y

compromiso

Políticas

Organización de

roles,

responsabilidade

s y autoridades

6 Planeación 7 Soporte

Recursos

Competencias

Conciencia

Comunicación

8 Operación 9 Evaluación del

desempeño

Monitoreo,

medición, análisis

y evaluación

Auditorías

internas

Revisión de la

Alta Dirección

10 Mejora

No-

conformidades y

acciones

correctivas

Mejora continua

PLANEAR HACER VERIFICAR ACTUAR

Información

Documentada

Las acciones

para abordar los

riesgos y

oportunidades

Objetivos y

planes IS

Planeación y

control

operacional

Evaluación de

riesgos de la

seguridad de la

información

Manejo de

reisgos de la

seguridad de la

información


Structure of ISO/IEC 27001

Clausula Descripción

4.0 Es un componente de Planear. Introduce los requerimientos

necesarios para establecer el contexto de ISMS sea cual sea el

tipo de organización, necesidades o alcance.

5.0 Es un componente de Planear. Resume los requerimientos

específicos del rol de la Alta Gerencia en el ISMS, y como su

liderazgo puede articular las expectativas de la organización.

6.0 Es un componente de Planear. Describe los requerimientos

relacionados con el establecimiento de objetivos y principios para

el ISMS.


Structure of ISO/IEC 27001

Clausula Descripción

7.0 Es un componente de Planear. Apoya las operaciones del ISMS

que se relacionan con el establecimiento de la competencia y de la

comunicación en forma recurrente /necesaria con las partes

interesadas, a la vez que documenta, controla, mantiene y

conserva la documentación.

8.0 Es un componente de Hacer. Define los requerimientos del ISMS y

determina como alcanzarlos, así como la necesidad de realizar

evaluaciones de riesgos de seguridad de información e

implementar un plan de tratamiento de riesgos.

9.0 Es un componente de Revisar. Resume los requerimientos

necesarios para medir el funcionamiento del ISMS, así como su

cumplimiento con la norma internacional , además de las

expectativas de la Alta Dirección y su retroalimentación sobre

estas.

10.0 Es un componente de Actuar. Identifica y actua en las no-

conformidades del ISMS a través de acciones correctivas.


Cambios clave

•La norma ha sido escrita de acuerdo al anexo SL • ISO 27002 ya no es una referencia normativa (nueva clausula 2) •Las definiciones de la versión 2005 han sido removidas y relocalizadas en ISO 27000 (nueva clausula 3) que es ahora una referencia normativa

•Ha habido cambios en la terminología utilizada, por ejemplo: políticas de seguridad de la información se utiliza en lugar de políticas de ISMS

•Los requisitos para los Compromisos de Gestión se han revisado y se presentan en la Cláusula de Liderazgo

•La acción preventiva se ha sustituido por "acciones para hacer frente a riesgos y oportunidades" y se muestra al principio de la norma

•Los requisitos de la evaluación de riesgo son más generales y reflejan un alineamiento de ISO 27001 con ISO 31000

•Los requerimientos de SoA son similares pero con mayor claridad en la determinación de los controles para el proceso de manejo de riesgos

•La nueva norma pone un mayor énfasis en la definición de objetivos, monitoreo del desempeño y métricas


Términos y definiciones

• Todas las definiciones que estaban en la versión 2005 han sido removidas

• Aquellas que son aún relevantes se han reubicado en ISO 27000

• La intención es promover la consistencia en los terminos y definiciones de todo

el conjunto de normas ISO 27000


Contexto de la organización

• La clausula 4 está relacionada con el contexto de la organización y requiere

que esta determine sus problemas externos e internos.

• Existe una clara necesidad de considerar a las partes interesadas

• Esto determinará las políticas de seguridad de la información y los objetivos y

cómo se va a considerar el riesgo y el efecto del riesgo en el negocio

• Los requisitos de las partes interesadas pueden incluir requisitos legales y

reglamentarios y las obligaciones contractuales


Liderazgo

• La clausula 5 del estándar resume los requerimientos específicos de la Alta Dirección en el ISMS

• La ISO destaca las formas específicas en que la dirección debe demostrar su compromiso con el sistema. Los ejemplos incluyen:

• asegurar que los recursos necesarios para el sistema de gestión de seguridad están disponibles

• comunicar la importancia de que la gestión de seguridad de la información sea eficaz y se ajuste a los requisitos del SGSI.

• Las políticas del ISMS ahora conocidas como políticas de seguridad de la información, siguen presentes

• La clausla 5 contiene el requerimiento de que la Alta Dirección debe asegurarse de que las responsabilidades y roles relevantes de la seguridad de la información sean asignados y comunicados.


Planeación

• Es una nueva sección relacionada con el establecimiento, como un todo, de los

objetivos de seguridad de la información y las guías de principios del ISMS

• Cuando se planea el ISMS, el contexto de la organización debe tomarse en

cuenta a través de la consideración de los riesgos y oportunidades

• Los objetivos de seguridad de la información en las organizaciones deben estar

claramente definidos y con planes para alcanzarlos

• Los requisitos de evaluación de riesgos son más generales, reflejando un

alineamiento de ISO 27001 con ISO 31000

• Los requerimientos de SOA, en gran medida, se encuentran sin cambios


Soporte

• La clausula 7 detalla el soporte requerido para establecer, implementar y

mantener la mejora continua en un ISMS efectivo, incluyendo:

• Recursos necesarios

• Competencias del personal involucrado

• Conciencia y comunicación de las partes interesadas

• Requisitos para la gestión de documentos

• La nueva norma se refiere a "información documentada" en lugar de

"documentos y registros”

• Ya no hay una lista de documentos o nombres en particular que se necesiten

proporcionar

• La nueva revisión hace énfasis más en el contenido que en el nombre


Operación

• ISO 27001 requiere que la organización planee y controle la operación de los

requerimientos de la seguridad de la información

• Y lo más importante, debe incluir:

• La realización de evaluaciones de riesgos de seguridad de información a intervalos

planificados

• La puesta en práctica de un plan de manejo de riesgos de seguridad de información


Evaluación del desempeño

• Las auditorías internas y revisión de la administración continúan siendo

métodos clave de revisión del desempeño del ISMS y herramientas para la

mejora continua

• Los nuevos requerimientos de medición de la efectividad son más específicos


Mejora

• Las no-conformidades del ISMS tienen que ser conmesuradas con las acciones

correctivas para asegurar que no vuelvan a ocurrir

• Al igual que con todas las normas de sistemas de gestión, la mejora continua

es un requisito básico


Controles


Controles en el DIS

• El número de controles ha sido disminuido de 133 a 113

• Los controles existentes han sido eliminados o fusionados, y se han agregado

nuevos controles

• Algunos de los controles conservados se han re-trabajado y necesitarán ser

revisados con mayor detalle después de la publicación del FDIS


Controles que han sido eliminados en el DIS

• A.6.1.1 Comité de gestión para la seguridad de la información

• A.6.1.2 Coordinación de seguridad de la información

• A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información

• A.6.2.1 Identificación de riesgos relacionados con los agentes externos

• A.6.2.2 Direccionamiento de la seguridad al tratar con clientes

• A.10.2.1 Entrega del servicio

• A.10.7.4 Seguridad del sistema de documentos

• A.10.10.2 Seguimiento al uso del sistema

• A.10.10.5 Fallas en el registro

• A.11.4.2 Autenticación de usuarios para conexiones externas

• A.11.4.3 Identificación de equipos

• A.11.4.4 Puerto remoto de diagnóstico y configuración de protección


Controles que han sido eliminados en el DIS

• A11.4.4 Diagnóstico remoto y configuración del puerto de protección

• A.11.4.6 Control para la conexión de redes

• A.11.4.7 Control para mapeo de redes

• A.10.8.5 Sistemas de información de negocios

• A.11.6.2 Aislamiento del sistema sensible

• A.12.2.1 Validación de datos de entrada

• A.12.2.2 Control de procesamiento interno

• A.12.2.3 Integridad del mensaje

• A.12.2.4 Validación de datos de salida

• A.12.5.4 Filtración de la información

• A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de

información

• A.15.3.2 Protección de las herramientas de auditoría de sistemas de información


Nuevos controles propuestos en la DIS

• A.6.1.4 Seguridad de la información en la gestión de proyectos

• A.12.6.2 Restricciones en la instalación de software

• A.14.2.1 Política de desarrollo de seguridad

• A.14.2.5 Desarrollo de procedimientos para el sistema

• A.14.2.6 Desarrollo de un entorno seguro

• A.14.2.8 Sistema de pruebas de seguridad

• A.15.1.1 Información de seguridad para las relaciones con proveedores

• A.15.1.3 Cadena de suministro ICT

• A.16.1.4 Evaluación y decisión de los eventos de seguridad de información

• A.16.1.5 Respuesta a incidentes de seguridad de la información

• A.17.1.2 Implementación de la continuidad de la seguridad de la información

• A.17.2.1 Disponibilidad de instalaciones para procesamiento de información


Línea de tiempo probable para la revisión

Escenario Ene. Feb. Mar. Abr. May. –

Jul.

Ago. Sep. Oct. –

Dic.

Ene. –

Mar.

1. DIS va a publicación

2.- DIS se va a FDIS

3.- DIS genera una

segunda DIS

Comentarios

públicos

Comentarios

públicos

Comentarios

públicos

Publicación

probable

Publicación

probable

Publicación

probable

Junta del comité ISO DIS- Proyecto de norma internacional

FDIS- Proyecto final de norma internacional


Disposiciones de la transición

• Las organizaciones que están certificadas con BSI en ISO 27001:2005

recibirán:

• Una guía de la transición

• Una escala de tiempo de la transición

• Se espera que las transiciones se lleven a cabo durante las visitas de

seguimiento(CAV)


Contáctanos

BSI Group México

www.bsigroup.com.mx

[email protected]

01 800 044 0274

+52 (55) 5241 1370

http://www.bsigroup.com.mx/

mailto:[email protected]

webinar que puedes esperar de la nueva iso 27001:2013

Leadership & Management