Nueva ISO 27000:2013. Cambios a tener en cuenta.

Como ya debéis saber, la International Organization for Standardization,  ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000: 2013 que sustituye a la ISO 27000: 2005.

Entre dichas normas existen multitud diferencias y aunque las mismas no son demasiado drásticas dedicaremos este artículo a su análisis.

• El cambio más evidente en la nueva versión de la norma es el de su estructura la cual se adapta a todas las normas de gestión. Además en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
• Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
• Los conceptos «documentos» y «registros» pasan a llamarse información documentada, en esta nueva norma.
• La evaluación de riesgos ya no se realizará a partir de los activos, las vulnerabilidades y las amenazas sino que estos solo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
• En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
• Las acciones preventivas también son objeto de cambio en la norma 27001, ya que la nueva versión no incluye acciones preventivas ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
• Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
• En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica etc.

Estos cambios no solo modifican a la norma anterior sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.

La ISO 27000: 2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.

ISOTools ya ha adaptado su plataforma a los nuevos cambios de la normativa, haciendo posible facilitarle la implantación y el mantenimiento de su Sistema de Gestión de Seguridad de la Información.

La plataforma ISOTools es totalmente parametrizable por lo que se adapta a las necesidades propias de cada organización.

ISOTools automatiza y simplifica el tedioso proceso de implantación y posterior seguimiento requerido por las normas internacionales, así como los modelos de Excelencia y cualquier otro tipo de estándar internacional.

ISOTools le permite ahorrar, tiempo, dinero y papel.