Tras ocho años desde la última revisión de ISO 27002, se ha publicado una nueva actualización de este estándar que proporciona controles de seguridad de la información, ciberseguridad y protección de la privacidad, que en adelante se conocerá como ISO 27002:2022.
La publicación de esta actualización tuvo lugar el 15 de febrero de 2022, y en ese sentido, vale la pena recordar que ISO 27002:2022 es, además de un estándar complementario para las organizaciones que han implementado ISO 27001, una norma que ayuda a implementar las mejores práctica y controles más eficaces para prevenir ataques o vulneración de la privacidad de los clientes o de las partes interesadas de la organización.
A continuación, revisamos cuál es la diferencia de esta norma con ISO 27001 y qué novedades propone la nueva actualización.
ISO 27002:2022 – Diferencia con ISO 27001
Ahora y antes de la actualización, ISO 27002:2022 es un estándar de respaldo, complementario y accesorio de ISO 27001. Como tal, su función es de apoyo y respaldo y, por lo tanto, no es una norma certificable.
¿Es necesario? Es una pregunta apenas razonable. Y, para ello, es importante hacer dos precisiones: ISO 27001 proporciona controles de seguridad, pero no explica cómo implementarlos, labor que sí desempeña ISO 27002.
Por otra parte, es importante entender que, a pesar de que ISO 27002:2022 es un estándar de aplicación opcional, no por ello deja de ser relevante.
ISO 27002:2022 – Las novedades
Empecemos por lo obvio. Esta actualización de ISO presenta diferencias estructurales notorias con respecto a las publicaciones ISO recientes. La actualización presenta cuatro secciones y dos anexos:
- Cláusula 5: Controles organizacionales.
- Cláusula 6: Controles de personas.
- Cláusula 7: Controles físicos.
- Cláusula 8: Controles tecnológicos.
Los dos anexos se ocupan del uso de atributos y de la correspondencia con los controles de la anterior edición de ISO 27002, que data del año 2013.
La nueva edición, ISO 27002:2022, reduce el número de controles de 114 a 93, en consideración a los avances tecnológicos, pero también a la evidente cultura de implementación de prácticas de seguridad.
La implementación de estas prácticas y controles es ahora justificada en esta actualización con una tabla de atributos asociados con el control, pero también con una justificación para implementar el control
#ISO27002, en la nueva versión de 2022, introduce cambios estructurales en lo relativo a controles de seguridad de la información. Conoce cómo se relacionan con #ISO27001 #SGSI Clic para tuitearAtributos de controles en la nueva actualización
Esta puede ser la novedad más relevante en esta actualización, ya que ordena los atributos de acuerdo con el tipo de control y su función. Estos pueden ser preventivos, de detección o correctivos.
Pero también se pueden definir atributos de acuerdo con:
- Los requisitos de la información, que pueden ser de confidencialidad, integridad y disponibilidad. En este apartado, es preciso revisar la regulación de cada región geográfica.
- El propósito u objetivo en materia de ciberseguridad, que puede ser identificar, proteger, detectar, responder y recuperar.
- Capacidades operativas como la gestión de activos, seguridad de Recursos Humanos, Gobernanza, protección de la información, seguridad de aplicaciones, controles de acceso, riesgos, amenazas y vulnerabilidades, cumplimiento regulatorio y seguridad en las relaciones con los proveedores, entre otros.
- Dominios de seguridad.
Los nuevos controles
La actualización a ISO 27002:2022 incorpora 11 nuevos controles:
- Inteligencia de amenazas.
- Seguridad de la información en la nube.
- Continuidad del negocio.
- Seguridad física y su supervisión.
- Configuración.
- Eliminación de la información.
- Encriptación de datos.
- Prevención de fugas de datos.
- Seguimiento y monitoreo.
- Filtrado web.
- Codificación segura.
Finalmente, algunos controles han sido renombrados y otros fusionados. En la práctica, ningún control ha sido eliminado. Solo se han fusionado, dividido o renombrado, con el ánimo de reducir esfuerzos en la implementación del estándar, todo ello, en colaboración con el Sistema de Gestión de Seguridad de la Información basado en ISO 27001.
Transformación Digital y Digitalización de Sistemas de Gestión
Las organizaciones que deben cumplir normativas y regulaciones sobre Seguridad y Confidencialidad de la información y los datos, en esta era de Transformación Digital, encuentran en la automatización y la digitalización de los Sistemas de Gestión, herramientas eficaces para potenciar los efectos positivos de estándares como ISO 27001 e ISO 27002, y otros estándares como el de gestión de la calidad.
Aprovechar la tecnología para garantizar la seguridad de la información y para gestionar sistemas de gestión corporativos, sumado a la implementación de programas de formación adecuados y concordantes con los objetivos propuestos, asegurarán el éxito del proyecto.
Diplomado en Seguridad de la Información ISO/IEC 27001
La Seguridad de la Información es hoy un área crítica para cualquier organización, especialmente para aquellas que deben cumplir con estrictas regulaciones sobre confidencialidad y protección de datos.
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa de excelencia diseñado para que los profesionales en esta área conozcan y comprendan los requisitos del estándar, y adquieran las competencias necesarias para implementarlo, mantenerlo, mejorarlo y auditarlo en cualquier tipo de organización.
Este programa de Alto Nivel ofrece dos certificaciones: la del Diplomado de la Escuela Europea de Excelencia y la de Auditor Interno de Sistemas de Gestión de Seguridad de la Información. Pero también, allana el camino para la obtención del certificado del Registro Europeo de Auditores Certificados (ERCA).
Hoy tienes una oportunidad excepcional para tomar este programa: puedes aplicar a una de las becas de nuestro Programa Excellence o, si lo prefieres, puedes iniciar tu formación ahora.
