7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 1/56 ISO 27001:2013 Todo lo que usted necesita saber acerca de los nuevos cambios Cambios respecto a ISO 27001:2005 William !lab" CISS#$ #%# &ISC' 2 Capitulo Colombia (oard %ember Si usted asisti) a esta c*arla a+radecemos dili+enciar la si+uiente encuesta *ttp:,,+oo-+l,rc./c
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
ISO 27001 es la Mnica norma internacional auditable que deine los requisitospara un sistema de +esti)n de la se+uridad de la inormaci)n &S4SI'- 6a norma
se *a concebido para +arantiBar la selecci)n de controles de se+uridadadecuados " proporcionales-
llo a"uda a prote+er los activos de inormaci)n " otor+a conianBa a
cualquiera de las partes interesadas$ sobre todo a los clientes- 6a normaadopta un enoque por procesos para establecer$ implantar$ operar$supervisar$ revisar$ mantener " meorar un S4SI-
ISO 27001 es una norma adecuada para cualquieror+aniBaci)n$ +rande o pequea$ de cualquier sector o parte
del mundo- 6a norma es particularmente interesante si laprotecci)n de la inormaci)n es crNtica$ como en inanBas$sanidad$ sector pMblico " tecnolo+Na de la inormaci)n &TI'-
ISO 27001 tambi>n es mu" eicaB para or+aniBaciones que+estionan la inormaci)n por encar+o de otros$ por eemplo$empresas de subcontrataci)n de TI- #uede utiliBarse para+arantiBar a los clientes que su inormaci)n est! prote+ida
l concepto clave de un S4SI es el #iseo implan(ación + man(enimien(o #e%n con%n(o #e procesos para +estionar eicientemente la accesibilidad de la
inormaci)n$ buscando ase-%rar la con*i#enciali#a# in(e-ri#a# +#isponibili#a# de los activos de inormaci)n minimiBando a la veB los ries+osde se+uridad de la inormaci)n-
Como todo proceso de +esti)n$ un SSI debe se+uir siendo eiciente duranteun lar+o tiempo a#ap(n#ose a los cambios internos de la or+aniBaci)n asNcomo los e/ternos del entorno
. S4SI$ <= (.PICIOS ;#OT;?• n anlisis #e ries-os$ identiicando amenaBas$ vulnerabilidades e impactos en la actividad
empresarial-
• na meora con(in%a en la +esti)n de la se+uridad-
• na +arantNa de continuidad " #isponibili#a# #el ne-ocio-
• e#%cción #e los cos(os vinculados a los incidentes-
• l incremen(o #e los nieles #e con*ian;a de clientes " partners-• l aumento del valor comercial " meora #e la ima-en de la or+aniBaci)n-
• @oluntad de c%mplir con la le-islación i-en(e de protecci)n de datos de car!cter personal$servicios de la sociedad e la inormaci)n$ comercio electr)nico$ propiedad intelectual " en+eneral$ aquella relacionada con la se+uridad de la inormaci)n-
6as or+aniBaciones " sus sistemas " redes de inormaci)n est!n e/puestos a las ,'<=S dese+uridad tales como el raude$ espionae$ incendios$ inundaciones " el sabotae proveniente deuna amplia +ama de uentes- l creciente nMmero de allos de se+uridad *a llevado a una ma"orpreocupaci)n por la se+uridad de la inormaci)n entre las or+aniBaciones de todo el mundo-
>O V<$'S '< S'?I@@ @' > I<AO,$IB< es un +ran desaNo para la or+aniBaci)n
"a que <O P?'@' >OS' SO>O "VCS @' ,'@IOS "'$<O>BI$OS " nunca debe serimplementado de una manera que no este alineado con el enoque de la or+aniBaci)n a losries+os o de orma tal que se creen diicultades para sus operaciones comerciales-
#or lo tanto *a" una necesidad de mirar a se+uridad de la inormaci)n desde una P'SP'$"IVDO>ES"I$ lo que *ace necesario tener una metodolo+Na de +esti)n de se+uridad de lainormaci)n para prote+er la inormaci)n de manera sistem!tica- S aquN donde el S4SI entra en ue+o-
Para (ener en c%en(a sobre los cambios:• 6a norma a*ora es menos descriptiva " prescriptiva• Aa ma"ores libertades en la implementaci)n• #ropone un periodo de transici)n para las or+aniBaciones "a
• 6as acciones preventivas sereemplaBaron por Qacciones para
abordar los ries+os " oportunidades
• 6os requisitos de evaluaci)n de ries+osson a*ora m!s +enerales " se alineancon la norma ISO 31000
• 6os requisitos de la declaraci)n deaplicabilidad &So;' son similares pero seda ma"or claridad en la determinaci)nde los controles del proceso detratamiento de ries+os
• %a"or >nasis en el establecimiento delos obetivos$ el se+uimiento deldesempeo " m>tricas
– esume los requisitos especNicos para el papel de la alta direcci)n en el S4SI
– Aelinea ormas especNicas para demostrar la +esti)n " su compromiso con el sistema- emplosinclu"en:
• ase+urando que los recursos necesarios para el sistema de +esti)n de la se+uridad de la inormaci)n est>ndisponibles
• comunicando la importancia de una +esti)n de la se+uridad de la inormaci)n eicaB " de la conormidad con
los requisitos del sistema de +esti)n de la se+uridad de la inormaci)n
– ;unque se renombro la #olNtica del S4SI$ los requisitos de polNtica ori+inales permanecen
– 6a alta direcci)n debe ase+urarse de que las responsabilidades " autoridades para los rolespertinentes a la se+uridad de la inormaci)n se asi+nen " comuniquen-
– 6a cl!usula J-1-3 describe c)mo una or+aniBaci)n puede responder alos ries+os con un #lan de Tratamiento de ies+os$ una parteimportante de esto es la elecci)n de los controles adecuados
– stos controles " obetivos de control$ i+uran en el ;ne/o ;$ aunquetambi>n es posible$ en principio que las or+aniBaciones implementencontroles tomados de cualquier otra uente
Se+Mn lo especiicado por el Poro Internacional de ;creditaci)n &I;P'$ todos los
cer(i*ica#os i-en(es bao los requisitos #e la norma ISO&I'$ 27001:2005deber!n ser ac(%ali;a#os en un periodo m!/imo de dos &2' aos$ el cualinaliBar! en 2015G10G01$
6ineamientos aplicables para la transici)n de las certiicaciones a la nueva versi)n:
1. Or-ani;aciones cer(i*ica#as con la ISO&I'$ 27001 ersión 2005 an(es #el #Ha 2013G10G016as auditorNas de se+uimientos$ reactivaciones " renovaciones de certiicadosemitidos con la norma ISO,IC 27001 versi)n 2005$ se podr!n realiBar *asta el 20150H01-
2. Or-ani;aciones %e an no es(n cer(i*ica#as con la ISO&I'$ 270016as auditorNas de otor+amiento de certiicados con la norma ISO,IC 27001 con laversi)n 2005 solo ser!n permitidas *asta el dNa 201H1001$ despu>s de esta ec*a lasauditorNas de otor+amiento se realiBar!n solamente con ISO,IC 27001 versi)n 2013-
sta nueva versi)n relea una ma+or *le!ibili#a# para su implementaci)n dentrode las empresas sin importar su tamao$ asN como la necesidad de a#ap(arse a laeol%ción #e las (ecnolo-Has$ lo que para muc*os "a era inminente desde *aceal+unos aos-
6a recomendaci)n para quienes "a poseen un S4SI implementado es considerar elapo"o de consultores con e/periencia para llevar a cabo las modiicaciones "diri+ir los esuerBos *acia una actualiBaci)n e/itosa de la norma$ conorme lodictan los requisitos- Aespu>s de todo$ con la ac(%ali;ación #e la norma el
c%mplimien(o ser! m!s !cil de implementar con meor le/ibilidad para lasempresas de cualquier tamao-