Nueva ISO 27000:2013. Cambios a tener en cuenta

ISO 27000:2013

Como ya debéis saber, la International Organization for Standardization, ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000: 2013, que sustituye a la ISO 27000: 2005.

Entre dichas normas ISO existen multitud diferencias y aunque las mismas no son demasiado drásticas, dedicaremos este artículo a su análisis.

• El cambio más evidente en la nueva versión de la norma es el de su estructura, la cual se adapta a todas las normas de gestión. Además, en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
• Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
• Los conceptos «documentos» y «registros» pasan a llamarse información documentada, en esta nueva norma.
• La evaluación de riesgos ya no se realizará a partir del inventario de activos, las vulnerabilidades y las amenazas, sino que estos solo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
• En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
• Las acciones preventivas también son objeto de cambio en la norma ISO 27001, ya que la nueva versión no incluye acciones preventivas, ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
• Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
• En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica, etc.

Estos cambios no solo modifican a la norma anterior, sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.

La ISO 27000: 2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual malinterpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.

Software ISOTools

ISOTools ya ha adaptado su plataforma a los nuevos cambios de la normativa, haciendo posible facilitarle la implantación y el mantenimiento de su Sistema de Gestión de Seguridad de la Información.

El software ISOTools es totalmente parametrizable, por lo que se adapta a las necesidades propias de cada organización.

ISOTools automatiza y simplifica el tedioso proceso de implantación y posterior seguimiento requerido por las normas internacionales, así como los modelos de Excelencia y cualquier otro tipo de estándar internacional.

ISOTools le permite ahorrar, tiempo, dinero y papel.