La nueva ISO 27001 publicada en octubre de 2022, ofrece a las organizaciones que implementaron su Sistema de Gestión de Seguridad de la Información basado en la versión 2013 del estándar, un plazo de tres años para culminar la transición y ajustar sus procesos a los nuevos requisitos y la nueva estructura de controles.
Otras organizaciones inician la implementación por primera vez, sobre los requisitos de la nueva ISO 27001. Para unas y otras, la guía sobre cómo abordar una transición rápida y efectiva en 7 pasos resultará muy útil.
¿Cómo adaptar el Sistema de Gestión de Seguridad de la Información a la nueva ISO 27001?
La nueva ISO 27001 representa un avance significativo en la Gestión de Seguridad de la Información, especialmente en el tema relacionado con los controles y su uso. Como en otras normas ISO, la transición tiene un plazo de tres años. Transcurrido este periodo de tiempo, las organizaciones que no logran el objetivo, iniciarán un proceso de certificación sobre los requisitos y controles de la nueva ISO 27001, como una nueva implementación.
Por eso, a pesar de que la nueva ISO 27001 no incorpora cambios estructurales significativos, conviene contar con una guía para una transición efectiva. Estos son los pasos:
1. Conocer y entender los cambios
La nueva ISO 27001, a diferencia de otras actualizaciones de estándares ISO, se produce por la necesidad de generar coherencia entre el texto de las diferentes cláusulas con el Anexo SL, y con la nueva estructura del Anexo A, en el cual sí aparecen algunas modificaciones interesantes.
También hay un interés de ISO por alinear el contenido de la norma y del anexo A, con la guía de implementación ISO 27002, publicada casi de forma simultánea con la nueva ISO 27001.
Esto significa que los cambios principales son semánticos y de forma, antes que estructurales o de contenido. Los principales son:
- En la cláusula 4.2, se suma una aclaración sobre los requisitos que serán abordados por el Sistema de Gestión, para satisfacer las necesidades y expectativas de las partes interesadas.
- En la cláusula 4.4, aparece la expresión “incluidos los procesos necesarios y sus interacciones”, solicitando así una mayor atención en el diseño y definición de los procesos del Sistema.
- En la cláusula 5.3, se aclara “dentro de la organización”, con referencia a la asignación de responsabilidades y autoridades.
- En La cláusula 6.1.3 las notas son revisadas editorialmente. Se eliminan de los objetivos de control y, en general, se procura ser más específicos y eliminar cualquier causa de ambigüedad.
- En la cláusula 6.3, nueva, se solicita que se tenga en cuenta el propósito y las consecuencias, en la planificación de cualquier modificación.
- En la cláusula 6.2, se suman a la lista de objetivos de seguridad, la obligación de monitorearlos y la de mantenerlos disponibles como información documentada.
- En la cláusula 7.4 desaparecen los literales d y e, y son reemplazados por un único “cómo comunicarse”.
- En la cláusula 8.1, sobre Planificación y Control Operativo, aparecen dos nuevos literales que solicitan, por una parte, establecer criterios para los procesos, y, por otra, implementar el control de los procesos de acuerdo con esos criterios.
- En la cláusula 9, encontramos subdivisiones nuevas: 9.2 sobre auditoría interna, y 9.3 sobre revisión de la Alta Dirección.
Cambios en el Anexo A
Como se advierte, los cambios en la parte de requisitos son apenas semánticos y no estructurales. Parecen más significativas las modificaciones efectuadas al Anexo A, de controles:
- El número de controles disminuye: de 114 a 93.
- Los controles nuevos son 11.
- La disminución, a pesar de la incorporación de nuevos controles, se explica porque muchos controles se fusionan.
- Las categorías en las que se agrupan los controles ahora son:
- Organizativos (37).
- De Personas (8).
- Físicos (14).
- Tecnológicos (34)
Una explicación sobre la relación entre controles antiguos y nuevos aparece en el estándar de orientación ISO 27002.
2. Fijar términos de tiempo para la transición
El plazo para culminar la transición a la nueva ISO 27001 vence el 31 de octubre de 2025. Es bueno tener en cuenta que ese es el término para que el organismo certificador emita la acreditación.
Entonces, terminar la implementación y estar listos para la auditoría de transición no basta. Hay que prever algunos meses (3 a 6), dependiendo de la agenda del organismo elegido.
Otros factores que determinarán el tiempo real que tiene la organización para culminar la transición a la nueva ISO 27001 son:
- El resultado de un análisis de brechas sobre lo que falta para alcanzar la conformidad con la nueva norma.
- El tamaño y la complejidad de la organización.
- Los problemas señalados en las más recientes auditorías y el avance en su solución.
- La necesidad de obtener la certificación.
- Los recursos disponibles para el proyecto.
Entre los recursos se destacan los tecnológicos. Las organizaciones que han automatizado y digitalizado sus Sistemas de Gestión, encontrarán mucho más fácil la tarea de transición. La Transformación Digital es el mejor aliado en el propósito de la Seguridad de la Información.
3. Realizar los cambios necesarios
Con base en los cambios anotados en el primer apartado de esta guía de transición, lo que sigue es realizar las modificaciones y ajustes necesarios, que básicamente se ubican en las cláusulas 4.4 y 6.3.
En la práctica, satisfacer lo solicitado por las nuevas expresiones, requerirá apenas realizar un diagrama de flujo que muestre los procesos y sus interacciones. Podrían incluirse notas o cuadros de texto que especifiquen los atributos del proceso, sus objetivos y los propietarios, así como las entradas y salidas de cada uno.
Satisfacer lo solicitado en la cláusula 8.1, sobre criterios, bastaría con indicar si el proceso hace lo que se imaginó en la planificación. En cuanto a lo solicitado en la cláusula 6.3, la mejor forma para cumplir es diseñar un proceso de Gestión de Cambios documentado.
Aprende 7 pasos para una transición efectiva si necesitas actualizar a la nueva #ISO27001 tu Sistema de Gestión de #SeguridadInformación Share on X4. Actualizar la evaluación de riesgos y la aplicabilidad de controles
Aunque nadie lo solicite, siempre será apropiado revisar la evaluación de riesgos y, especialmente las acciones de tratamiento para abordarlos. En cuanto a los controles, es claro que es obligatorio revisar la lista de controles elegidos, y su aplicabilidad.
Nuevamente, ISO 27002 proporciona una guía útil para entender la relación entre la estructura de controles 2013 y la nueva de 2022.
5. Crear una nueva declaración de aplicabilidad
Con la incorporación de once controles nuevos, y la fusión de otros, es claro que la lista de controles elegidos, y los desechados cambia de forma sustancial. Esto hace necesario crear una nueva declaración de aplicabilidad en la que se enumeren los controles que se utilizarán, los que no, y las razones por las que se toma una u otra decisión.
La transición a la nueva ISO 27001 representa una gran oportunidad para actualizar toda la Gestión de Riesgos, y, por supuesto, las políticas y los manuales de usos de controles y procedimientos.
6. Elegir el organismo de certificación
Se retoma en este paso el trabajo efectuado cuando se obtuvo la certificación. Una opción congruente sería elegir el mismo organismo certificador. Sin embargo, la disponibilidad, de acuerdo con la premura de tiempo, podría inclinar la balanza decisión otro punto.
Por supuesto, antes de enfrentar la auditoría de transición es bueno practicar tantas auditorías internas como sea necesario, para lo cual, es importante contar con los profesionales formados para desarrollar estas evaluaciones con la debida idoneidad.
7. Planificar y enfrentar la auditoria de certificación para la nueva ISO 27001
Lo que resta es enfrentar al auditor de certificación. La planificación y el entrenamiento son elementos fundamentales. Los empleados, con funciones clave dentro del Sistema tienen que estar en el foco de la capacitación. Nuevamente, contar con los profesionales suficientes, con el conocimiento y la formación adecuados hará la diferencia.
Diplomado de Seguridad de la Información – ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa que incorpora las dos grandes áreas de conocimiento y competencias requeridas para afrontar con éxito la transición a la nueva ISO 27001: la implementación y la auditoría.
Los alumnos de este programa de excelencia abordan con profundidad todos los requisitos de la nueva norma, en un Diplomado que ha sido actualizado en sus contenidos de acuerdo con las novedades de la edición 2022 de ISO 27001.
Los auditores, que este programa titula, tienen una gran oportunidad: pueden obtener el certificado ERCA – Registro Europeo de Auditores Certificados -, que les permite trabajar en cualquier país del continente europeo o de América Latina. Aquí puedes dar el primer paso.