Los cambios de la norma ISO 27001 publicados en octubre de 2022 se pueden clasificar en dos grupos: los que afectan los requisitos, que son semánticos y no estructurales; y los que modifican los controles, que sí representan un cambio de fondo para la Gestión de la Seguridad de la Información.
En el mismo momento de la publicación se inició la cuenta atrás para que las organizaciones adopten los cambios de la norma ISO 27001. Lo primero es, por supuesto, conocer esas novedades. Es importante también saber de cuánto tiempo se dispone para implementar las modificaciones necesarias.
Qué es ISO 27001
ISO 27001 es el estándar internacional más aceptado e implementado para la Gestión de la Seguridad de la Información. Los requisitos del estándar permiten a las organizaciones de todos los tamaños, sectores y complejidades asumir un enfoque sistemático para abordar con éxito los riesgos para su información, sea esta virtual, magnética, impresa o verbal.
Es un estándar certificable. La organización, cuando considere que su sistema alcanza la conformidad con todos los requisitos de ISO 27001, podrá solicitar una auditoría de certificación para obtener la acreditación por parte de un organismo avalado por ISO.
Además del cumplimiento de los requisitos de la edición 2013 de la norma, las organizaciones, incluso las ya certificadas, necesitan trabajar en la implementación de los cambios de la norma ISO 27001 y su certificación, en los casos en los que corresponda. Por ello, es de gran utilidad conocer tanto esos cambios como las fechas límite.
Cambios de la norma ISO 27001
La publicación inicial de ISO 27001 tiene lugar en 2005. La primera revisión se presenta en septiembre de 2013 y en octubre de 2022 se entrega una nueva edición. Los cambios de la norma ISO 27001 más significativos se producen en dos áreas: requisitos ISO 27001 y controles.
Cambios de la norma ISO 27001 sobre requisitos
La estructura de Alto Nivel de la norma se conserva. Los 10 capítulos permanecen, pero se producen modificaciones en algunas cláusulas. Se trata de aclaraciones o cambios apenas semánticos. El objetivo es precisar aún más el sentido del requisito y tratar de no dejar espacio a las interpretaciones. Estos cambios son los siguientes:
Capítulo 4 – Contexto de la organización
- Cláusula 4.2: las organizaciones tendrán que identificar expectativas y cuestiones de las partes interesadas (contexto de la organización). También tendrán que decidir cuáles abordará el sistema de gestión y argumentarlo.
- Cláusula 4.4: se agrega la expresión “procesos necesarios y sus interacciones”.
Capítulo 6 – Planificación
- Cláusula 6.1.3: se sustituye la expresión “objetivos de control” por “controles”. Aclara, además, que los controles mencionados en esta cláusula no son controles de seguridad ni están asociados a ellos. Son controles de riesgos.
- Cláusula 6.2: los objetivos de seguridad de la información ahora se deben monitorear y documentar.
- Cláusula 6.3: es una incorporación. La nueva cláusula solicita planificar los cambios necesarios para mejorar el sistema de gestión.
Capítulo 7- Soporte
- Cláusula 7.4: cambia la expresión “quién comunicará” a “cómo comunicar”. Elimina la obligación de crear un proceso para la comunicación.
Capítulo 8 – Operación
- Cláusula 8.1: el requisito de planificar objetivos de SI se sustituye por la obligación de establecer criterios para que los procesos implementen las acciones a las que se hace referencia en el capítulo 6.
Capítulo 9 – Evaluación del desempeño
- Cláusula 9.1: la actualización es sobre los métodos para llevar a cabo las tareas de monitoreo, seguimiento y análisis de desempeño, aclarando que estos métodos deben ser reproducibles, comprobables y comparables.
Cambios de la norma ISO 27001 en los controles del Anexo A
Los cambios de la norma ISO 27001 estructurales se producen en el Anexo A de controles. El primero es la reducción de 114 a 93. La reducción del número de controles, sin embargo, no significa eliminación. Por el contrario, aparecen algunos controles nuevos (11).
Esto se explica porque se produce una integración de controles, que se agrupan en 4 categorías:
- Organizacionales (37)
- Tecnológicos (34)
- Físicos (14)
- De personas (8)
Los once nuevos controles que se introducen con los cambios de la norma ISO 27001 son los siguientes:
- Supervisión de la seguridad física.
- Inteligencia de amenazas.
- Gestión de la configuración.
- Eliminación de la información.
- Enmascaramiento de datos.
- Prevención de fugas de datos.
- Seguimiento de actividades.
- Seguridad de la información para el uso de servicios en la nube.
- Filtrado web.
- Configuración segura.
- Preparación de las TIC para la continuidad del negocio.
Cuáles son los tiempos para implementar los cambios de la norma ISO 27001:2022
Como es costumbre, ISO establece un periodo de transición para que las organizaciones certificadas culminen la transición a la norma ISO 27001:2022. Este plazo será de tres años. El tiempo empezó a correr el 31 de octubre de 2022, lo que indica que las organizaciones certificadas tendrán hasta el 31 de diciembre de 2025.
Las organizaciones que ya han adelantado procesos de implementación y certificación de sistemas basados en la versión 2013 de la norma pueden avanzar de forma paralela con la transición, para la cual tendrán el mismo plazo que las organizaciones ya certificadas: 31 de octubre de 2025.
Desde el 1 de noviembre de 2023, todas las auditorías de certificación y sus correspondientes acreditaciones corresponden a la edición 2022 del estándar de Seguridad de la Información.
Aunque la fecha para expedir certificaciones de transición para organizaciones certificadas en este momento concluye el 31 de octubre de 2025, los organismos certificadores no podrán realizar auditorías de transición después del 31 de julio de 2025. Las organizaciones certificadas que tengan que afrontar una auditoría de transición después de esa fecha serán tratadas como primera vez.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 ha actualizado sus contenidos de acuerdo con la revisión 2022 de la norma. Este programa se ha diseñado con el propósito de formar profesionales que tengan la capacidad de comprender el contexto de la organización y, de acuerdo con él, implementar un sistema capaz de proteger la información como activo valioso para la empresa.
Los alumnos, además de recibir la titulación propia del Diplomado, obtienen certificado de auditor interno en ISO/IEC 27001:2022 y pueden optar a la certificación ERCA. El programa está abierto, puedes iniciar ya tu formación. Pero antes, comprueba si eres candidato para una de las becas que ofrece la Escuela Europea de Excelencia.