Documente Academic
Documente Profesional
Documente Cultură
MARIA ABARACA
.1- EstructuraLa nueva estructura presenta la misma orientación que el resto de normas ISO que han
venido actualizándose con el fin de facilitar la integración entre las mismas.Las definiciones
incorporadas en la anterior versión ISO 27001:2005 se suprimen en ISO 27001:2013 y aquellas de
relevancia pasan a ISO/IEC 27000.Igualmente, ahora en la nueva versión sólo existe el Anexo A, que
contiene los controles a aplicar. Es una referencia y no una base para la selección.Ha aumentado el
número de secciones, pasando de 11 que tenía la anterior versión de la norma a 14. El número de
controles se reduce, bien porque se han eliminado, porque se han generalizado o porque se fusionan.
Además aparecen nuevos controles.
2- Evaluación y tratamiento de riesgosEn la nueva versión de ISO 27001 se da una mayor libertad de
opciones para calcular los riesgos.Se toma la ISO 31000 como base para hacer seguimiento de los
riesgos y mecanismos a emplear para ello.Tomar los activos, vulnerabilidades y amenazadas como base
para la evaluación de riesgo ya no es la única forma de poder realizarla. Es uno de los métodos a
emplear.Se reemplaza el término de impacto por el de consecuencia, al ser más amplio.No es
obligatorio contar con un dueño de activo. En su lugar, aparece el nuevo concepto de dueño del riesgo.
De esta forma, se eleva el nivel de responsabilidad dentro de la organización.Ya no hay medidas
preventivas, sino que se fusiona todo ello con la evaluación y tratamiento de riesgos
3- Mejora continuaISO 27001:2013 ofrece una amplia libertad respecto a la metodología a emplear por
cada organización para alcanzar la tan deseada mejora continua.El conocido ciclo PDCA (Plan- Do-
Check- Act) ya no es una obligación sino uno de los posibles métodos a seguir.
4- Facilidades para la implementaciónOtro de los aspectos clave de la Seguridad de la información en
ISO 27001 es la facilidad en la implementación que aporta.Gracias a su diseño definido para tener una
estructura común con otras de las normas ISO, resulta más sencillo poder llevar a cabo su integración
con esas otras normas ISO.A ello, le sumanos la flexibilidad antes mencionada en materia de la
elección de la metodología a emplear para la evaluación de riesgos así como, para la gestión de la
mejora continua.Igualmente, destacamos la posibilidad que permite a la organización de poder adaptar
su SGSI a las necesidades reales que cada una tenga, así como la reducción de la carga documental que
ofrece.