La norma internacional ISO 27001 tuvo dos hitos muy importantes de evolución, hablamos de sus versiones 2005 y 2013, en cada una de estas versiones surgieron vertientes de mejora a favor de la norma, se agregaron y quitaron muchas cosas, ventajas y desventajas. No precisamente la versión 2013 es mejor que la 2005 pero sí ha sido más exitosa y tras más de 5 años de vigencia y realizando una comparación de estas dos versiones, pueden resaltarse mejoras para una nueva versión y qué es lo que se debería considerar.

Secuencia y tamaño

En la versión 2005 se seguía una secuencia que facilitaba tener un camino y estimación de lo que se iba a implementar, desde la primera cláusula hasta la última que exigía la norma, eso fue algo que se perdió en la versión 2013, provocando un trabajo más difícil al implementador, quien debía conocer muy bien a la organización y orientarla en el camino de implementación. Ahí es donde nace otro problema con la versión 2013, el tamaño de la organización, si bien es cierto que en la versión 2005 los documentos no son adaptables al tamaño de la organización si no más bien se implementan a fuerza mayor, en la versión 2013 se adaptan según las necesidades de la organización y puede dirigir la documentación en acoplamientos de controles. Se espera que para la nueva versión existan clasificaciones de documentos a implementar según el tamaño de la organización e industria de manera ordenada y cronológica.

Fácil de leer e implementar

En la versión 2013 se hace referencia a otras normas como apoyo (tales como la ISO 9001 o 23001), y a pesar que implícitamente se siga una guía con el ciclo PDCA (Planificar, Hacer, Chequear y Actuar), el implementador debe sortear una línea de avance entre todos los documentos y normas enlazadas en el proyecto, estableciendo un alto consumo de tiempo leyendo y haciendo encajar los contenidos de los documentos. Esto se busca mejorar, es decir, un implementador en nivel principiante debe tener la facilidad de avanzar de manera fluida e ir dejando avances para otros implementadores con mayor conocimiento del negocio, no necesariamente mayor experiencia en implementar, si no conocer detalles del negocio para la adaptación en los documentos.

Control sobre control

No se habla sobre redundancia si no de evitar el acoplamiento, muchas indicaciones de las normas exigen controles que van de la mano con otros controles, es por ello que en varios documentos se considera un apartado que dice documentos de referencia donde se mencionan tales documentos o incluso ítems de la norma. El implementador debe tener la habilidad de no ocasionar confusión en los enlaces o referencias de los documentos. En la nueva versión se debería de evitar cualquier tipo de acoplamiento de controles.

Consejo audit

Capacite a sus responsables de seguridad de la información en la familia de normas ISO 27000. El valor agregado obtenido en el cumplimiento de sus controles es altamente beneficioso, sin embargo, una correcta implementación está sujeta a una adecuada velocidad de comprensión por parte del implementador hacia el negocio y su cultura. En audit ofrecemos servicios de capacitación y orientación a su personal de TI en cumplimiento de normas relacionadas a la seguridad de la información.