1

SGSI.- Sistema de Gestión de Seguridad de la Información

iso_27000Un sistema de Gestión de Seguridad de la Información está basado en la aplicación de norma ISO27001, esta norma es la base de gestión de la Seguridad de la Información y es aplicable a cualquier tipo de organización, sea pública o privada.

Después de ocho años Se ha anunciado que para finales de este año 2013 la ISO27001-2005, evoluciona a ISO27001-2013, que incluye controles ´para identificar y controlar amenazas, vulnerabilidades y riesgos. Esta actualización de la norma elimina el modelo PDCA (Plan – Do – Check – Act), debido a se reconoce que lo realmente importante es la mejora continua y existen diferentes métodos igual de validos que el PDCA para su cumplimiento. Cambian algunos conceptos como:

1. “Política del SGSI”, cambia a “Política de Seguridad de la Información”

2. “Management” cambia a “Top Management” La ISO27001-2005, tiene 133 controles contenidos en 11 dominios (A.5 a A.15), la nueva versión ISO27001-2013 ahora estará compuesta por 114 controles contenidos en 14 dominios (A.5 a A.18).

Una razón principal para estos cambios es que ahora se tiene un dominio para evaluar la relación con proveedores. ISO27001, permite a las organizaciones certificarse, con lo que se obtiene credibilidad, transparencia y confianza en los procesos de seguridad de información implementados para atender los requerimientos internos y los de los clientes externos.

Esta norma se rige por tres ejes o pilares de la misma, “Confidencialidad”, “Integridad” y “Disponibilidad”  Confidencialidad- Garantizar a los dueños de la información que esta, se encuentra custodiada y resguardada por una serie de controles que permiten garantizar que su información se encuentra en un ambiente (electrónico o físico), seguro y que solamente tendrán acceso a la misma él o las personas autorizadas.  Integridad.- Asegurar que la Información (electrónica o física), es únicamente modificable por el dueño de la misma y haciendo uso de controles establecidos por ISO27001, llevar el control de los eventos en los que la información ha sido actualizada o modificada por el dueño de la misma o por un tercero con la respectiva autorización.  Disponibilidad.- Mantener la información disponible para ser usada por la Organización en todo momento que sea requerida dentro de los procesos de negocio.

Cuando la ISO27001-2013 sea publicada de forma oficial, se dará a la empresas un tiempo que por lo regular es de 2 años para hacer los cambios dentro de su actual Sistema de Gestión de Seguridad de la Información, la validación de cumplimiento de esta transición podrá ser revisada dentro de la auditoria anual de revisión o bien solicitando una auditoria extraordinaria. Se encuentra circulando un draft de esta nueva versión mismo que es de utilidad para ir evaluando y planeando los escenarios y cambios que se requerían establecer para caminar hacia esta transición en el momento que se publique oficialmente la ISO27001-2013.

Por José Antonio Martínez Sánchez – Information Security Analyst CRISC, CobiT

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.