Tras unos días de vigencia de la nueva ISO 27001:20013 y tras haber
realizado ya una lectura más reposada y meditada del nuevo estándar y
los cambios introducidos solo puedo decir que esta me gusta mucho el
texto de esta versión y que ahora está "mejor enfocada" hacia la
valoración del funcionamiento del SGSI por los resultados operativos
relacionados con el cumplimiento de los objetivos de seguridad.
En un mundo donde cada vez más la gestión TI es externalizada o
delegadas ciertas partes a sistemas que no son propiedad de la
organización, es necesario al menos tener identificados los riesgos y
garantizar sobre todo que a pesar de eso, podemos proporcionar
protección de información a "nuestras partes interesadas" (clientes y
los propios departamentos de la Organización).
Como esta revisión ha sido exhaustiva y completa he preferido crear un
documento completo con los comentarios sobre la nueva norma para que sea
descargable y más manejable que el texto incrustado en el blog.
Podéis proceder a la descarga del documento con licencia Creative Common en
"Análisis detallado de la nueva ISO 27001:2013" [PDF] (
mirror). Otros
documentos relacionados a la actualización de ISO 27000:2013.
La nueva norma va a tener como consecuencia que empecemos todos a hablar
del ansiado "cuadro de mando" de la seguridad de la información. Algo
en lo que ya he empezado a investigar y cuyo origen parte de las
reflexiones colgadas en el post Ciberdefensa:
taxonomía de eventos de seguridad.
