Ya correspondía la actualización; la International Organization for Standardization (ISO), ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000:2013 que sustituye a la ISO 27000:2005.
Entre dichas normas existen muchas diferencias y aunque las mismas no son demasiado drásticas, las revisaremos en este artículo.
El cambio más evidente en la nueva versión de la norma es el de su estructura la cual se adapta a todas las normas de gestión. Además en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
Los conceptos “documentos” y “registros” pasan a llamarse información documentada, en esta nueva norma.
La evaluación de riesgos ya no se realizará a partir de los activos, las vulnerabilidades y las amenazas sino que estos sólo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
Las acciones preventivas también son objeto de cambio en la norma 27001, ya que la nueva versión no incluye acciones preventivas ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica etc.
Estos cambios no sólo modifican a la norma anterior sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.
La ISO 27000:2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.