Generalmente, cuando las organizaciones se plantean la implantación de un SGSI bajo ISO/IEC 27001, entienden que las medidas de seguridad deben ser necesariamente las del anexo A de la norma, en la medida en que estas sean aplicables. Sin embargo, este enfoque ya no es necesario, siendo posible implantar cualquier otro catálogo de salvaguardas a nuestra elección, lo que convertiría a la ISO 27001 en un sistema de gestión abierto para el gobierno de la seguridad. Vamos a analizarlo.
¿Cómo es esto posible?
Para poder comprender el enfoque actual tenemos que considerar dos estándares, la propia ISO/IEC 27001:2022 que contiene los requisitos para el sistema de gestión de seguridad de la información y la norma ISO/IEC 27006-1:2024 que incluye los requisitos y criterios para las entidades de certificación y, por tanto, aspectos a considerar para la certificación del SGSI.
En primer lugar, tanto la versión actual como previas de la norma ISO 27001 ya nos indicaban en su clausula «6.1.3. Tratamiento de los riesgos de seguridad de la información» que:
La organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad de la información para: …
b) determinar todos los controles que sean necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información;
NOTA 1 Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de cualquier fuente.c) comparar los controles determinados en el punto 6.1.3 b) con los del anexo A y comprobar que no
se han omitido controles necesarios;NOTA 2 El anexo A contiene una lista de posibles controles de seguridad de la información. Se indica a los usuarios de este documento que se dirijan al anexo A para asegurar que no se pasan por alto controles necesarios. Los controles de seguridad de la información enumerados en el anexo A no son exhaustivos, por lo que pueden ser necesarios controles de seguridad de la información adicionales.
UNE-ISO/IEC 27001:2023
Es decir, que el anexo A es una referencia, pero la organización debe implantar los controles que sean necesarios para tratar adecuadamente el riesgo.
Sin embargo, hasta ahora las reglas de certificación no entraban en exceso al detalle del encaje del anexo A en lo que su obligatoriedad se refiere. La única mención existente previamente era una relativa a «fuentes externas de controles«, pero su redacción daba a entender que se trataba de incluir marcos de control adicionales o matizar los requisitos aplicables a nuestro SGSI, mas que una sustitución del anexo A. Sin embargo esto ha cambiado con la última versión de la norma ISO 27006, que referencia esta posibilidad en varios apartados:
8.2.3. Reference of other standards in the ISMS certification documents
The reference control standards can be based on ISO/IEC 27001:2022, Annex A, or be standards that include information security controls.
…
9.1.1.2. Considerations for certification procedures
It is possible for an organization to design its own necessary controls or to select them from any source, therefore it is possible that an organization is certified to ISO/IEC 27001 even though none of its necessary controls are those specified in ISO/IEC 27001:2022, Annex A.
ISO/IEC 27006-1:2024
Es decir, que se explicita que los controles implantados deben ser aquellos que se demuestren como necesarios, y pueden definirse en base a cualquier marco de control o, incluso, en base a criterios propios de la organización. Eso sí, con independencia de la fuente de estos controles, se les debe dar el mismo tratamiento que a cualquier otro control, incluyendo lo relativo a su registro y justificación dentro del documento de Declaración de Aplicabilidad:
8.2.3. Reference of other standards in the ISMS certification documents
a justification for excluded reference controls is stated in the Statement of Applicability (SoA) in
ISO/IEC 27006-1:2024
accordance with ISO/IEC 27001:2022, 6.1.3 d).
Visto lo anterior, poca duda cabe respecto a la posibilidad de dar cumplimiento a los requisitos de ISO/IEC 27001 incluso aunque no entre en nuestros planes implantar los controles del anexo A. Eso sí, incluso si no se van a utilizar los controles de ISO/IEC 27001, se recomienda hacer lo que la propia norma indica, es decir, revisar el anexo A para comprobar que no hemos omitido ningún contro limportante, ya que la práctica totalidad de medidas a de seguridad necesarias en la organización tendrán cabida en mayor o menos medida en alguno de estos controles.
Finalmente, cabe indicar que esta posibilidad de usar el SGSI como un metaesquema de seguridad es particularmente interesante a la hora de buscar sinergias en el caso de organizaciones que deben dar cumplimiento al Esquema Nacional de Seguridad. Como ya es sabido, cualquier sistema de información de categorías MEDIA o ALTA debe sustentar la gestión de seguridad en un sistema de gestión formal. El Real Decreto no concreta el modelo exacto que debe implantarse, pero sí indica que este sistema de gestión debe cubrir al menos los procesos de auditoría interna y de revisión por dirección. Teniendo en cuenta esto y que parte del clausulado de ISO/IEC 27001 se incluye hasta cierto punto dentro del propio RD, está claro que es posible implantar un SGSI bajo ISO/IEC 27001 e implantar la seguridad a través del anexo II del ENS, uniendo en un solo modelo de gestión de la seguridad ambos textos.
Más historias
ENS: actualizada la guía de auditoría y certificación (mayo 2021)