{"id":4738,"date":"2011-03-22T05:05:52","date_gmt":"2011-03-22T05:05:52","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/22\/las-mayores-falencias-de-iso-27001\/"},"modified":"2022-12-28T12:45:25","modified_gmt":"2022-12-28T12:45:25","slug":"las-mayores-falencias-de-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/es\/blog\/2011\/03\/22\/las-mayores-falencias-de-iso-27001\/","title":{"rendered":"Las mayores falencias de ISO 27001"},"content":{"rendered":"<p>Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma <a href=\"\/27001academy\/es\/?page_id=675\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> es el documento m\u00e1s perfecto que jam\u00e1s se haya escrito. Pero, en realidad, no es as\u00ed. Trabajando con mis clientes y ense\u00f1ando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuaci\u00f3n detallo cu\u00e1les son esas debilidades y mis sugerencias sobre c\u00f3mo resolverlas:<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">T\u00e9rminos ambiguos<\/h2>\n<p>Algunos de los requisitos de la norma no son muy claros:<\/p>\n<ul>\n<li>El punto 4.3.1 c) indica que la <a href=\"\/27001academy\/es\/paquete-de-documentos-sobre-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">documentaci\u00f3n del SGSI<\/a> debe incluir\u2026 \u201c<strong>procedimientos y controles que respalden el SGSI<\/strong>\u201d. \u00bfEsto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opini\u00f3n, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las pol\u00edticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los dem\u00e1s controles pueden ser detallados en la Declaraci\u00f3n de aplicabilidad ya que esta declaraci\u00f3n debe incluir la descripci\u00f3n de todos los controles que se implementan.<\/li>\n<li><strong>Pol\u00edticas y procedimientos (no) documentados<\/strong>: en muchos controles del Anexo A se mencionan pol\u00edticas y procedimientos sin la palabra \u201cdocumentado\u201d. En efecto, ello implica que no es necesario redactar esas pol\u00edticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.<\/li>\n<li><strong>Entidades externas y terceros<\/strong>: se utilizan indistintamente estos t\u00e9rminos, lo que puede generar confusi\u00f3n. Ser\u00eda mucho mejor si se utilizara solamente un \u00fanico t\u00e9rmino.<\/li>\n<\/ul>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 style=\"padding-top: 5px;padding-bottom: 10px\">Organizaci\u00f3n de la norma<\/h2>\n<p>Algunos de los requisitos de la norma est\u00e1n dispersos o innecesariamente duplicados:<\/p>\n<ul>\n<li>Algunos controles directamente est\u00e1n <strong>ubicados en el lugar incorrecto;<\/strong> por ejemplo, el punto A.11.7 Computaci\u00f3n m\u00f3vil y tele-trabajo est\u00e1 ubicado en la secci\u00f3n A.11 Control de acceso. Si bien cuando se trabaja con computaci\u00f3n m\u00f3vil es necesario tener cuidado con el control de acceso, la secci\u00f3n A.11 no es el lugar m\u00e1s natural para definir temas relacionados con computaci\u00f3n m\u00f3vil y tele-trabajo.<\/li>\n<li><strong>Los temas relacionados con las entidades externas<\/strong> est\u00e1n dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gesti\u00f3n de entrega de servicios de terceros. Con el avance de la \u201ccomputaci\u00f3n en la nube\u201d y otros tipos de tercerizaci\u00f3n, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.<\/li>\n<li><strong>La formaci\u00f3n y concienciaci\u00f3n de los empleados<\/strong> es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicaci\u00f3n no solamente es innecesaria, sino que genera mayor confusi\u00f3n. En teor\u00eda, cada control del Anexo A podr\u00eda ser excluido, pero usted podr\u00eda terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditor\u00eda interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisi\u00f3n independiente de la seguridad de la informaci\u00f3n.<\/li>\n<li>Algunos de los controles del Anexo A pueden ser <strong>aplicados en forma realmente amplia y pueden incluir otros controles<\/strong>; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podr\u00eda abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de informaci\u00f3n clasificada), A.8.3.2 (Devoluci\u00f3n de los activos despu\u00e9s de terminar el trabajo), A.9.2.1 (Protecci\u00f3n de los equipos), A.10.7.1 (Gesti\u00f3n de medios removibles), A.10.7.2 (Eliminaci\u00f3n de medios), A.10.7.3 (Procedimientos de manejo de la informaci\u00f3n), etc. Generalmente, les aconsejo a mis clientes que redacten un \u00fanico documento que comprenda a todos estos controles.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">\u00bfProblemas o no?<\/h2>\n<p>Estos son algunos temas que a menudo aparecen como problem\u00e1ticos; sin embargo, para m\u00ed no es as\u00ed:<\/p>\n<ul>\n<li><strong>La norma es muy imprecisa, no contempla el nivel de detalle suficiente.<\/strong> Si fuera m\u00e1s detallada sobre la tecnolog\u00eda que se utilizar\u00e1, en poco tiempo quedar\u00eda desactualizada y si fuera m\u00e1s detallada sobre los m\u00e9todos y\/o soluciones organizativas, no podr\u00eda aplicarse a todos los tama\u00f1os y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una peque\u00f1a agencia de mercadotecnia; sin embargo, ambas instituciones podr\u00edan implementar la norma ISO 27001).<\/li>\n<li><strong>La norma permite demasiada flexibilidad:<\/strong> con esto, los cr\u00edticos apuntan al concepto de evaluaci\u00f3n del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan \u00ab\u00bfC\u00f3mo es posible excluir la creaci\u00f3n de copias de seguridad o la protecci\u00f3n antivirus?\u00bb En realidad, con el progreso de las tecnolog\u00edas del tipo \u00abcomputaci\u00f3n en la nube\u201d, esta clase de protecci\u00f3n podr\u00eda no ser responsabilidad de la organizaci\u00f3n que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerizaci\u00f3n sean un poco elevados, se necesitar\u00eda otro tipo de controles de seguridad.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">\u00bfY ahora qu\u00e9?<\/h2>\n<p>Esta norma seguramente necesitar\u00e1 un cambio. La versi\u00f3n actual de la ISO\/IEC 27001:2005 ya tiene seis a\u00f1os y es de esperar que la pr\u00f3xima revisi\u00f3n (para 2012 o 2013) se ocupe de la mayor\u00eda de los temas mencionados arriba.<\/p>\n<p>Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho m\u00e1s que los negativos. Y s\u00ed, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gesti\u00f3n de la seguridad de la informaci\u00f3n.<\/p>\n<p><em>Tambi\u00e9n puede consultar este eBook <\/em><a href=\"\/books\/seguro-simple-una-guia-para-la-pequena-empresa-para-la-implementacion-de-la-iso-27001-con-medios-propios\/\" target=\"_blank\" rel=\"noopener noreferrer\">Seguro &amp; Simple: Una gu\u00eda para la peque\u00f1a empresa para la implementaci\u00f3n de la ISO 27001 con medios propios<\/a> <em>que explica cada uno de los pasos en la implementaci\u00f3n de ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento m\u00e1s perfecto que jam\u00e1s se haya escrito. Pero, en realidad, no es as\u00ed. Trabajando con mis clientes y ense\u00f1ando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuaci\u00f3n detallo cu\u00e1les &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[53],"tags":[1232,1591],"class_list":["post-4738","post","type-post","status-publish","format-standard","hentry","category-blog-es","tag-iso-27001-es","tag-iso-27001-es-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/comments?post=4738"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4738\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media?parent=4738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/categories?post=4738"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/tags?post=4738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}