26 septiembre 2013

Publicada la nueva ISO/IEC 27001:2013

Tras un cierto tiempo ausente de este blog (espero recuperar mi ritmo de publicación habitual ahora que prácticamente he terminado con el Master que estaba cursando) me alegra poder comunicar que ayer se publicó la esperada nueva versión de la norma ISO 27001, varios días antes de lo previsto.

Esta nueva versión, pese a no introducir cambios demasiado significativos, puede suponer un nuevo impulso al desarrollo de la seguridad de la información, sobre todo desde el punto de vista de su integración y aceptación por parte de áreas típicamente alejadas del mundo de la seguridad. Esto se debe a que esta nueva versión de la norma está adaptada a los requisitos del Anexo SL, la nueva referencia de ISO para cualquier sistema de gestión. Esta adaptación supone que un SGSI tendrá exactamente la misma estructura que cualquier otro sistema de gestión normalizado por ISO, y por tanto será más fácilmente integrable con cualquier otro sistemas de gestión ya implantado en la organización.

Más allá de estos cambios, la versión 2013 de la norma ISO 27001 incorpora una nueva versión del anexo de medidas de seguridad,  en el que se ha modificado sobre todo la organización de los controles más técnicos y se han incluido dominios específicos para la criptografía y la relación con proveedores, a la vez que se ha reducido el número total de controles hasta los 113 (gracias sobre todo a la eliminación de controles redundantes).

En definitiva, un nuevo lavado de cara para una norma con bastante éxito y mucho potencial, que esperemos que sirva para que poco a poco las organizaciones se animen a mejorar la seguridad de su información.