Entorno tecnológico cambiante y adaptación de la seguridad al medio: Nueva ISO27001:2013

La evolución de las tecnologías y de las tendencias para el tratamiento e interactuación con la información, ha conllevado la aparición de nuevas vulnerabilidades y amenazas, y la modificación de los mapas de controles y de riesgos conocidos. Sirva de ejemplo la tendencia de las organizaciones en migrar a la nube, o la proliferación en el uso de dispositivos móviles, tanto a nivel corporativo como personal.

Ya sea desde un prisma empresarial o doméstico, esta nueva era de computación, ha traído consigo una potencial capacidad para poder atentar contra la seguridad. Ciberterrorismo, ciberespionaje o ciberguerra, son algunos ejemplos que han puesto tan de moda el término “ciberseguridad”, asociado a las nuevas capacidades presentes en lo que ha venido a denominarse “ciberespacio”.

Pero al igual que el entorno tecnológico es cambiante, la legislación y estándares en materia de seguridad también están evolucionando para poder adaptarse al medio y establecer directrices que permitan una gestión adecuada de estos nuevos riesgos, como es el caso de la norma ISO ISO27032:2012 – directrices de ciberseguridad -.

Sin embargo, especial mención a este respecto merecen las recientemente revisadas ISO 27001:2013 e ISO 27002:2013, cuyos cambios han sido en parte provocados por la necesidad de adaptarse a las nuevas necesidades que plantean los actuales entornos de computación.

Los controles del Anexo A han disminuido de 133 a 114, lo que ha implicado eliminar varios, crear nuevos y reorganizar los existentes, pasando de 11 secciones a 14 (A.5 a A.18), siendo estos los cambios más relevantes en secciones y controles:

  • Sección 15 “Relaciones con los Proveedores” creada para dar cabida a los controles de seguridad relacionados con los servicios en la nube, o en poder de terceros.
  • Sección 14 “Desarrollo, adquisición y mantenimiento” que contempla controles para la existencia de una política de desarrollo seguro y el establecimiento de procedimientos y segregación de roles en el equipo de desarrollo para poder cumplirla.
  • La sección 16 “Gestión de Incidentes” establece controles enfocados al tratamiento de los incidentes de seguridad y no sólo al reporte de los mismos.
  • La sección 17 “Continuidad” que establece controles para asegurar la redundancia de las instalaciones de tratamiento de información.
  • La sección 10 “Criptografía” cuyos controles han sido desligados de los de “Desarrollo y Adquisición de sistemas”.
  • Las secciones 12 “Operaciones de Seguridad” y 13 “Comunicaciones de Seguridad” que se han segregado del dominio original que albergaba a ambas.

En cuanto al Sistema de Gestión, la estructura de la norma se adecúa al resto de normas ISO, (ej. ISO22301), lo que facilita la integración con otros sistemas de gestión. Además:

  • Se elimina la referencia de cumplimiento del Anexo A. La organización debe identificar cuáles son los controles necesarios a adoptar para gestionar los riesgos de seguridad y compararlos con los del Anexo A, para comprobar que ha contemplado todos los aspectos relevantes.
  • Se integra evaluación y tratamiento de riesgo, haciéndose referencia a la ISO 31000, lo que significa que ya no es necesariamente obligatorio para evaluar riesgos, identificar activos, amenazas y vulnerabilidades y relacionarlos con probabilidad e impacto. Asimismo, desaparece la figura del propietario del activo y se hace obligatoria la definición del “Risk Owner” o dueño del riesgo. Además, el concepto de impacto pasa a tener un carácter más general, apareciendo el término “consecuencias”, que engloba no sólo el impacto tecnológico, sino otros problemas derivados de naturaleza legal, económica o de reputación. Las acciones preventivas pasan a gestión del riesgo.
  • No es obligatorio adoptar el PDCA, pudiendo elegir cualquier otro marco para garantizar un proceso de mejora continua.
  • La política del SGSI desaparece para ser sustituida por la Política de Seguridad de la Información, implicando la participación de la alta dirección (Top Management), a la que se le pide que adopte una postura concreta en materia de seguridad.
  • Se elimina la cláusula que listaba los documentos necesarios del SGSI, evitando la creación ad-hoc de documentos, enfatizándose en que lo importante es el contenido. Se introduce el término de “información documentada”, que implica que sólo la información crítica del SGSI requiere estar documentada.

En resumen, ISO27001:2013 aborda los controles de seguridad en los nuevos paradigmas de tratamiento de información, como la nube o los dispositivos móviles, y además es más flexible en los requerimientos de evaluación de riesgo, mejora continua e información documentada, evitando esfuerzos innecesarios y permitiendo que cada organización ajuste el SGSI a sus necesidades reales.