Estándar 27001: comparativa 2013 con 2005

SITUACIÓN

2013 nos trajo una nueva edición del estándar 27001. Tras dejar un tiempo prudencial de reposo despues de su debut, he efectuado un análisis cruzado (que no incluye el anexo de controles) entre la edición de 2005 y la de 2013.

No es el propósito de este texto abarcar "todo sobre 27001", se remite para ello al lector a webs intensivos sobre el asunto tales como iso27000.es o iso27001security.com.

Para el análisis he tenido en cuenta, además de las versiones de 2005 y 2013 del estándar, información diversa: la magnífica publicada por BSI (webinar sobre el nuevo estándar y presentación descargable del webminar, la guía de transición de 2005 a 2013 y las tablas de correspondencias; la publicación de DNV sobre cambios; el análisis de iso27001security.com aquí y las publicaciones de IS&BCA sobre las novedades -atención, tienen algunos "desajustes" que no comparto; En castellano resulta interesante, por cubrir el estandar extremo a extremo sin tener que comprarlo, la evaluación de Javier Cao, si bien presenta también algún desajuste.

La tabla de traslación de requisitos de la edición de 2005 a la de 2013 que he generado está aquí. Motivos evidentes de PI hacen que la tabla que publico solo contenga los títulos y no los requisitos, pero sirve de guía para quien quiera repetir el análisis -y sirve para cualquier idioma ;-)

También incluyo algunas referencias para quienes tengan que realizar la transición desde un SGSI que cumple con la edición de 2005 a uno que cumpla con la de 2013.

VALORACIÓN COMPARATIVA

(Subjetiva, pero basada en la información objetiva anterior y la tabla de traslación)

La adaptación a la estructura y textos comunes y obligagorios impuesta por el anexo SL (que en el momento de escribir esta nota se puede descargar aquí), produce intensos cambios estructurales (refactoring) y tambien impone requisitos (entiendo que mínimos, esto es, que los diversos estándares podrían aumentar) en diversos aspectos de "técnica generica de gestión de sistemas de gestión". En mi opinión, el SC27 ha asumido los requisitos de empleo de items comunes del Anexo SL como aspectos inamovibles, sin tener la comprensión de entender (y/o la valentía) que dichos requisitos pueden ser complementados con demandas adicionales. Por ejemplo, si la edición de 2005 demanda una revisión por la Dirección periódica (al menos una vez al año), el Anexo SL demanda una revisión por la Dirección periódica (sin imponer frecuencia mínima) que la edición de 2013 ha asumido sin variación. Todas estas repercusiones del anexo SL las señalo en esta nota mediante un +.

A parte de lo anterior, la edición de 2013 conlleva, IMHO1, escasas novedades de fondo en general y en los aspectos específicos de seguridad (el más relevante, el cambio de requisitos de gestión de riesgo, hacia mayor libertad/indelimitación).

El saldo de los cambios es agridulce:

  • Guiño al “tone at the top”, designado como "leadership", pasando de requerir la involucración del “Management” a la del “Top Management”+; lamentablemente permite la delegación en capas no ejecutivas+, se pierde la obligación de revisión anual por la Dirección+ (requisito que se convierte en revisión “regular”) y permanecen difuminados aspectos esenciales como la aprobación de los requisitos+ y objetivos+ del sistema, el alcance+, la directriz global de seguridad+ (Policy), el riesgo inherente y controlado, el plan de tratamiento de riesgo y la declaración de aplicabilidad, que debieran ser, IMHO, aprobados (sign-off) por la Alta Dirección Ejecutiva.
  • Disminución de requisitos en auditoría interna+, que puede dar lugar a ausencia de auditoría interna efectiva.
  • Aumento de la flexibilidad, emigrando de requisitos “cómo” a requisitos “qué". Requisitos que, lamentablemente, se vuelven propensos al cumplo-y-miento, máxime tras el difuminado de responsabilidades y de auditoría interna indicados anteriormente.
  • Menor exigencia documental+ en número y contenido, y por lo tanto menor nivel de “burocracia”, que mal llevado puede llevar al caos por retroceso en el nivel de madurez.
  • Mejora notable de la claridad general de estructura+ y requisitos+; clarioscuro en metodología de evaluación y tratamiento de riesgo, así como sobre requisitos de planificación+ anual de las actividades del SGSI, o de la evaluación y tratamiento del riesgo, o de la auditoría interna+.
  • Clarificación del engarce requisitos-controles. Se clarifica que la organización determina los controles que implementa partiendo de los requisitos y los riesgos; también que la organización es libre de incluir los controles que desee, si bien debe justificar los que incluye así como los que excluye de entre los del Anexo A -si bien se retira la necesidad de seleccionar los controles los controles del Anexo A, éste sigue siendo obligatorio, debe emplearse como herramienta de comprobación y justificarse exclusiones. Por tanto, cambios más cosméticos que sustantivos.
  • Declaración de aplicabilidad que "no progresa adecuadamente …". El contenido de la declaración de aplicabilidad - que sigue siendo obligatoria, 6.1.3d - no está definido (ni en 27000 ni en 27001), más allá de requerir que "contenga los controles necesarios y justificación de inclusiones […] y de exclusiones de controles del anexo A". No se clarifica su utilidad real (más allá de instrumento de apoyo a la auditoría y certificación): muchas organizaciones emplean herramientas que agrupan la evaluación de riesgo y los aspectos de cumplimiento junto con la selección de controles y perciben que la declaración (como documento ad hoc) se convierte en elemento burocrático que no les aporta valor; una declaración bien estructurada (incluso generada por la herramienta) y bien engarzada en el SGSI se convierte en un eficaz elemento de vinculación con la Alta Dirección y de eficiacia del SGSI; pero el estándar no lo fomenta.

CONCLUSIONES PERSONALES

  • Si la gobernanza de la seguridad de la información en una organización es buena, el estándar en su edición de 2013, más claro, provee un buen marco de trabajo, aunque tibio en alguno de sus aspectos, especialmente el de la involucración de la Alta Dirección Ejecutiva. En otro caso, la dilución de requisitos permite empeorar en la senda del cumplo-y-miento. Como corolario, el responsable del sistema puede mantener una actividad razonable o, alternativamente, sufrir una vida aún más miserable.
  • Aquellos SGSI que cumplen con los requisitos de la edición de 2005 (generalmente evaluado y certificado por entidad de registro) requieren en general solo de ajustes puntuales y moderados para cumplir con los requisitos de la edición de 2013. Dicho de otra forma, las organizaciones certificadas 27001 respecto de la edición de 2005 deben adaptar su SGSI para que pueda ser mantenerse certificado en la edición de 2013, pero los esfuerzos no son disruptivos.
  • Se pueden simplificar y podar diversos aspectos de un SGSI que cumple con los requisitos de la edición de 2005 y que el mismo cumpla con los requisitos de la edición de 2013, de cara a reducir su coste operativo, si bien, salvo que conlleve una reasignación eficaz de recursos, generalmente puede conllevar una reducción de la expectativa de eficacia del SGSI y un aumento del riesgo. Por ejemplo, se puede prescindir de un análisis estructurado de riesgo para pasar a emplear a una valoración cualitativa de un grupo reducido de gestores. Bien efectuado puede reducir costes y optimizar el riesgo, mal efectuado rozará el desastre.

En fin, mi opinión es que la edición de 2013, que está a la vez mejor estructurada y constreñida como consecuencia del anexo SL, impulsa menos a las organizaciones a gestionar eficazmente un SGSI.

REFERENCIAS

ISO/IEC-27001:2005
ISO/IEC-27001:2013
ISO/IEC-27000:2014 (Overview & Vocabulary)

Introduction to 2013 version of ISO/IEC, aquí.

La transición en 12 pasos, por IS&BCA, aquí (ojo desajustes).

Documentación requerida por 2013, por IS&BCA, aquí (ojo desajustes).

AYÚDAME A MEJORAR

comments powered by Disqus


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 20 Feb 2014 15:48


Mis actividades y novedades: visita mi blog

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License