Sale la nueva ISO/IEC 27001:2013: Técnicas de tecnología de la información de seguridad - Sistemas de gestión de seguridad de la información – Requisitos

 Por J. Oscar Alvarez de la Cuadra López.

Después de una revisión, el 25 de septiembre del 2013, se anunció  esta nueva versión de ISO/IEC 27001 que sustituye a la versión 2005 y que ha encontrado una gran cantidad de usuarios especialmente en la banca, contact centers y muchas otras organizaciones donde se vuelve  muy importante garantizar el buen manejo de la información y reducir los riesgos asociados a la misma, como el activo de alto valor que representa en cualquier organización.

De la misma forma se emite en paralelo la nueva revisión de la ISO/IEC 27002:2013. Esta norma de guía, proporciona directrices para las normas de seguridad de información de la organización y las prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta la información del entorno de riesgos de seguridad de la organización. Está  diseñada para emplearse por las organizaciones que pretenden seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001, implementar controles de seguridad de la información generalmente aceptadas y desarrollar sus propias directrices de gestión de información de seguridad.

Estas normas son publicadas conjuntamente a través de la Organización Internacional para la Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC), el organismo de normalización internacional hermano de la ISO también ubicado en Ginebra, Suiza, cuyo alcance de normalización es en el  sector electrotecnológico.

La norma ISO /IEC 27001:2013 cuenta  diez cláusulas cortas, además de un anexo, que abarcan:

1. Alcance y campo aplicación de la norma
2. Referencia al documento
3. La reutilización de los términos y definiciones de la norma ISO/IEC 27001
4. Contexto organizacional y las partes interesadas
5. Liderazgo en seguridad de la información y apoyo de alto nivel para la política
6. Diseño de un sistema de información de gestión de seguridad , evaluación de riesgos, tratamiento de riesgos
7. Apoyar un sistema de gestión de seguridad de la información
8. Hacer un sistema de gestión de seguridad de información operativa
9. Revisar el funcionamiento del sistema
10. La acción correctiva

Anexo A: Lista de los controles y sus objetivos.

Esta estructura refleja la con la nueva estructura de alto nivel de otras normas de gestión nuevos, tales como ISO 22301 (gestión de la continuidad del negocio ) y la estructura que habrá de adoptar ISO 14001 y ISO 9001 en sus futuras revisiones. Algunos de los nuevos  cambios son en terminología, el reemplazo del requisito de acciones preventivas por medidas para hacer frente a riesgos y oportunidades, muy similar a uno de los cambios propuestos en  ISO/CD 9001:2015 y el énfasis en determinar  objetivos y medición del desempeño y sus métricas asociadas.

Los requisitos establecidos en la norma ISO/IEC 27001:2013 son, como los de otros sistemas de gestión (ISO 9001, ISO 14001 o ISO 22000), genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza.

No deje de visitar el tutorial sobre ISO/IEC 27001 en nuestro canal de YouTube para aprender más de esta norma.

http://www.youtube.com/watch?v=-6sQ3uB54Ek

y visite la página de ISO con la liga para descargar la norma (previo pago):

http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534

Organismos de certificación - ¿Hasta que la muerte nos separe o divorcio express?

Por Oscar Alvarez de la Cuadra López (autor del libro "Nos urge certificarnos en ISO 9000")

En la actualidad, el negocio de la certificación ISO 9001 ha llegado a un punto en el que se ha mantenido estable ante la realidad de la tendencia a la baja del número de certificados ISO 9001 expedidos a nivel internacional.

La amenaza es tan real y clara, que los organismos lanzan su apuesta a revivir la moda, como ocurre cada vez que hay cambios en la norma, como con la tan esperada nueva versión de la norma ISO 9001:2015, pendiente de publicación para el próximo mes de noviembre de 2015. Esto promete nuevas oportunidades de negocio  a los organismos con actualizaciones de certificados, cursos de actualización entre otros, ante la baja de demanda por el desencanto gradual que hoy día están teniendo muchas de las empresas con la tan comentada norma por un problema multifactorial, del cual nos abocamos a revisar uno de los de mayor impacto. Si nos dispusiéramos a hacer un análisis causa raíz de este fenómeno, con todo el rigor científico, podríamos inferir que una de las causas principales del desencanto ha sido la actitud un tanto proteccionista y en casos muy extremos  lisonjera  de algunos organismos certificadores que operan en nuestro país y a nivel internacional. 

Muchas empresas se quejan de que tras la certificación o ya pasados algunos ciclos de recertificación, sus organismos sólo pasan la factura semestralmente y los hallazgos que documentan sus auditores en sus informes aportan muy poco valor, si es que los documentan porque hay veces que las auditorías son tan complacientes, que no dejan más que numerosas oportunidades de mejora de muy poco impacto a los objetivos de calidad de una organización. Muchas empresas ya con un nivel avanzado de cultura de calidad, al contrario de las que no lo tienen y que ruegan por que se mantenga el área de comfort, desean que sus organismos verdaderamente les identifiquen áreas de oportunidad y riesgos latentes, en otras palabras no conformidades, ejercicio que lamentablemente queda conminado al contexto de las auditorías internas en muchos casos.

Otra causa igualmente presente es el servicio deficiente prestado por algunas de estas organizaciones. Los organismos  certificadores, que en sí deberían de ser congruentes con lo que venden, adolecen de  fallas de calidad en  el proceso mismo de prestación de sus servicios. El área donde urgen mejoras por lo general no recae en lo técnico, sino en lo administrativo o áreas de back office.

Entonces qué queda al haber invertido en implementar, mantener y mejorar  un sistema de gestión (ISO 9001, 14001, OHSAS u otro), pues nada más que si el organismo no funciona, como pudiera hacerse con cualquier proveedor en la misma situación, activar la cláusula 7.4.1 (proceso de compras) y 8.5.2 (acción correctiva) de nuestra norma ISO 9001 y proceder a tomar la medicina con un cambio de proveedor. Es posible incluso, en casos de extremo descontento, transferir el certificado a otro organismo (previa selección cuidadosa), si la empresa lo considera y a veces es una solución que muchos organismos prefieren no dar a conocer a sus clientes. En casos en que el organismo bajo escrutinio pertenezca a redes como IQNet (http://www.iqnet-certification.com) y el organismo sustituto también forme parte de la misma, el proceso es mucho más ágil y conveniente. Es justo como cliente exigir a su proveedor. Las empresas pueden llegar a encumbrar a sus organismos certificadores, deificarlos gracias al poder divino que le confieren a sus auditores y olvidar su esencia terrenal para soslayar estas ocurrencias. 

Como ocurre con la otra parte de la trinidad del éxito-fracaso ISO 9001, que es con la elección de un consultor (la otra parte es la propia organización), la selección de su organismo certificador tiene que ser tan estratégica y  bien cuidada, como podría ser la de un potencial cónyuge, por que la boda dura al menos 3 años de la vigencia del certificado y de no cubrir las expectativas de una organización, puede acabar en un amargo y a veces costoso divorcio.

http://www.crasa.com.mx