El pasado mes de octubre tuvo lugar la publicación de la nueva ISO 27001:2022. La ya necesaria revisión del estándar de Seguridad de la Información que ha sufrido varios retrasos, ya está lista para asumir los retos y desafíos que plantea un mundo corporativo más regulado, pero también, más expuesto.
La fecha exacta de publicación fue el 25 de octubre de 2022, lo que significa que las organizaciones contarán con tres años – hasta octubre de 2025 -, para ajustar sus Sistemas de Gestión al nuevo estándar y certificarlo.
Pensando precisamente en esa transición, a continuación, explicamos las novedades que propone la nueva ISO 27001:2022 y su Anexo A de controles, con el fin de allanar el camino hacia la obtención de la nueva certificación.
¿Qué novedades aporta la nueva ISO 27001:2022?
La nueva ISO 27001:2022 incorpora novedades que, en general, pretenden alinear aún más el Sistema de Gestión con el Anexo SL, lo que en la práctica significa un claro interés por promover la integración con otros Sistemas.
Sin embargo, en su estructura y en su forma el estándar no presenta variaciones sustanciales. Los cambios más significativos son:
Contexto de la organización
Ahora, el capítulo 4 de la norma solicita identificar requisitos “relevantes” de las partes interesadas. No todos los requisitos identificados serán abordados por el Sistema de Gestión de Seguridad de la Información. La organización determinará los que necesita abordar. Por otra parte, ahora se incorpora la expresión “procesos necesarios y sus interacciones”.
Planificación
Aquí la novedad, propuesta en el capítulo 6, es que los objetivos de seguridad ahora deben ser monitorizados, y esta tarea debe estar disponible como “información documentada”.
La nueva ISO 27001:2022 trata en una nueva sección el tema de los cambios de planificación en el Sistema, sin que requiera para ello un proceso nuevo.
Soporte
En este punto, el propósito evidente es facilitar la tarea: ahora solo se solicita definir “cómo comunicarse”, y se elimina la necesidad de definir a quién, y de crear un proceso para hacerlo.
Operación
Se sustituye el requisito de planificar el logro de los objetivos de SI, por el requisito de establecer criterios para los procesos para implementar acciones identificadas en la Cláusula 6, y para controlar esos procesos de acuerdo con los criterios.
Por otra parte, ahora ISO 27001 solicita a la organización que controle procesos, productos o servicios externos, que sean relevantes para el Sistema.
Desempeño y evaluación
Los mecanismos utilizados para medir, analizar, monitorizar, evaluar y realizar seguimiento a la eficacia del Sistema ahora deben ser comparables y reproducibles.
La revisión por parte de la Alta Dirección ahora también debe considerar los cambios en las necesidades y expectativas de las partes interesadas.
Conoce la nueva versión de #ISO27001 recién publicada. Y las novedades que presenta el más importante y eficaz estándar internacional de #SeguridadInformación #SGSI Clic para tuitear¿Cuáles son las novedades en los controles del Anexo A en la nueva ISO 27001:2022?
El Anexo A incorpora novedades para ajustarlo a la también recién publicada ISO 27002. El Anexo reduce el número de controles de 114 a 93. Ahora, la nueva ISO 27002:2022 agrupa 93 controles en apenas 4 capítulos:
- Controles organizacionales (37).
- Controles de personas (8).
- Controles físicos (14).
- Controles tecnológicos (34).
Algunos de estos controles son nuevos y otros son el resultado de una fusión. En la siguiente tabla se aprecia la equivalencia de los controles que subsisten, desde ISO 27001:2013, y la forma en que se encuentran ahora en la nueva ISO 27001:2022:
| Control en ISO 27001:2013 | Novedad en ISO 27001:2022 |
| A.6.1.4 Contacto con grupos de especial interés. | A.5.7 Inteligencia sobre amenazas. |
| A.9.2.1 Alta y baja de usuarios. | A.5.16 Gestión de identidad. |
| A.15.x Relaciones con proveedores. | A.5.23 Seguridad de la información para el uso de servicios en la nube. |
| A.17.1.x Continuidad de la seguridad de la información. | A.5.29 Seguridad de la información durante la interrupción. |
| A.17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información. | A.5.30 Preparación de las TIC para la continuidad del negocio. |
| A.9.2.5 Revisión de los derechos de acceso de los usuarios. | A.7.4 Supervisión de la seguridad física. |
| A.14.2.5 Principios de ingeniería de sistemas seguros. | A.8.9 Gestión de la configuración. |
| A.18.1.3 Protección de registros. | A.8.10 Eliminación de información. |
| A.14.3.1 Protección de datos de prueba. | A.8.11 Enmascaramiento de datos. |
| A.12.6.1 Gestión de vulnerabilidades técnicas. | A.8.12 Prevención de fuga de datos. |
| A.12.4.x Registro y seguimiento. | A.8.16 Actividades de seguimiento. |
| A.13.1.2 Seguridad de los servicios de red. | A.8.23 Filtrado web. |
| A.14.2.1 Política de desarrollo seguro. | A.8.28 Codificación segura. |
¿Qué deben hacer las organizaciones que ya obtuvieron la certificación ISO 27001:2013?
Ahora, lo procedente es prepararse para realizar los ajustes que permitan alcanzar la conformidad con el nuevo estándar. ISO ofrece, como de costumbre, el periodo de transición de tres años. Esto significa que las organizaciones tienen ese lapso de tiempo para obtener la nueva certificación, sin que se afecte la validez del certificado actual.
Una buena idea es realizar una implementación alternativa de controles, que es sin duda el cambio más relevante en la estructura del Sistema. De una forma u otra, hay que prepararse para afrontar una auditoría con los requisitos de la nueva ISO 27001:2022.
El trabajo inicia con un análisis de brechas. Con la norma recién publicada, es poco probable que existan organismos certificadores, auditores o consultores especializados ahora en el nuevo estándar.
Por supuesto, las organizaciones que ya iniciaron su transformación digital, y han acogido soluciones tecnológicas eficaces para digitalizar y automatizar sus Sistemas de Gestión, tendrán la tarea mucho más fácil.
La formación en la nueva ISO 27001:2022 también será un elemento esencial. Y para ello, nuestra recomendación en el apartado final.
Diplomado en Seguridad de la Información ISO/IEC 27001
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa creado por expertos de alto nivel, reconocidos internacionalmente, que ahora se expande para alcanzar la nueva ISO 27001:2022.
Este Diplomado otorga a sus alumnos titulación como expertos en Sistemas de Gestión de Seguridad de la Información, pero también como auditores internos. Además, los profesionales que cursen el Diplomado tienen la oportunidad de obtener el certificado ERCA – Registro Europeo de Auditores Certificados -, y trabajar en cualquier país de la Unión Europea o de América Latina.
Inicia tu camino hacia el ascenso en tu carrera inscribiéndote ahora.
