Los procesos empresariales de valor agregado están impulsados por la información y los datos. Sin el intercambio de información, nada funciona en nuestra economía digital. Nuestros servicios básicos se basan en infraestructuras críticas cuya funcionalidad depende en gran medida del intercambio de información y datos. La seguridad de la información se extiende a la realidad de nuestro trabajo y nuestras vidas. Proteger las operaciones diarias basadas en la información, los datos críticos y la propiedad intelectual de las ciberamenazas es, por tanto, un imperativo para las empresas de todos los tamaños. En esta era de ciberataques industrializados, la adaptación a los riesgos de seguridad de la información, siempre cambiantes, requiere un enfoque oportuno y flexible para construir la resiliencia de la empresa.


Y aquí es exactamente donde entra la nueva ISO/IEC 27001:2022 con su enfoque en la orientación de procesos en la gestión de la seguridad de la información. Durante más de dos décadas, la norma ISO 27001 ha sido una base establecida, aunque envejecida, para los sistemas de gestión de la seguridad de la información. Y a pesar de su antigüedad, según la encuesta de la ISO, la norma pudo crecer con un aumento del 32% de los certificados en el pasado año 2021. Con el telón de fondo de la creciente demanda de un marco contemporáneo de evaluación de la seguridad de la información, la nueva ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. ¿Qué nos espera?

Loading...

Resumen de las nuevas características de la norma ISO 27001:2022

La norma ISO 27001 describe el marco para un sistema de gestión de la seguridad de la información (ISMS, por sus siglas en ingles), y ello para las empresas independientemente de su estructura organizativa, tamaño u orientación. El eje central es la gestión de riesgos. Las cambiantes amenazas cibernéticas explotan constantemente nuevas vulnerabilidades potenciales en las empresas con el objetivo de atacar y comprometer los flujos de información y, por tanto, los procesos empresariales. Los riesgos que se derivan de este mecanismo sobre los tres objetivos esenciales de protección de la seguridad de la información -confidencialidad, integridad y disponibilidad- deben ser identificados y gestionados.

La actualización de la norma ISO/IEC 27001:2022 aborda las mejores prácticas para gestionar estos riesgos de seguridad de la información. La lista de posibles controles de seguridad de la información en el Anexo A normativo de la nueva ISO/IEC 27001:2022 es idéntica a la guía revisada ISO/IEC 27002:2022. La guía de implementación ya fue adoptada en febrero de este año con una taxonomía más simple y controles de seguridad contemporáneos. Con la nueva ISO/IEC 27001:2022 ya publicada, el exitoso tándem de normas ISO 27001/27002, con sus valiosas medidas recomendadas, vuelve a estar a la última.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

Preguntas frecuentes sobre ISO/IEC 27001:2022

"El Nuevo" para la Seguridad de la Información: 38 Preguntas y Respuestas

Lo que necesita saber sobre el "nuevo chico de la cuadra" en materia de seguridad de la información: 38 respuestas de nuestros expertos a 38 preguntas de los usuarios.

¿De qué se tratan los nuevos controles?

  • ¿Cuándo deberíamos hacer la transición al nuevo estándar?
  • ¿Dónde puedo encontrar una lista de correspondencias antiguas y nuevas?
  • ... ¡y 35 más!
Descargue las preguntas frecuentes sobre la nueva ISO 27001 y aproveche la experiencia de nuestros expertos

Otro cambio significativo en la nueva ISO/IEC 27001:2022 es que, con la adaptación a la llamada Estructura Armonizada, el requisito largamente esperado de orientación a los procesos se coloca en el centro de un SGSI eficaz. La base de un sistema de gestión eficaz son los procesos claros y sus interacciones, así como criterios orientados a objetivos para estos procesos para su control.

A continuación, analizaremos más de cerca las tres áreas de cambio de la nueva versión de ISO 27001.

 

La estructura de alto nivel se convierte en una estructura armonizada

A partir de mayo de 2021, la Estructura Armonizada (HS) sustituirá a la anterior Estructura de Alto Nivel (HLS). El HS es la estructura básica y el modelo para el desarrollo de revisiones nuevas y futuras de las normas ISO existentes del sistema de gestión. ISO/IEC 27001:2022 es una de las primeras normas de sistemas de gestión adaptadas al SA. Para los usuarios familiarizados con el estándar resultan interesantes diversas aclaraciones, ampliaciones y también supresiones en el HS en comparación con el HLS.

Para ISO/IEC 27001:2022, sin embargo, es directamente visible una derivación significativa del HS. En el futuro, la Cláusula 6.3 requerirá que los cambios en el SGSI se implementen de manera planificada. Este requisito es familiar en otros sistemas de gestión y expresa la expectativa de que se haya dominado un proceso de cambio relacionado con el SGSI. Por ejemplo, la transición de la anterior ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022 puede entenderse como un cambio en el SGSI que debe implementarse de manera planificada con todos sus efectos e interacciones.

ISO/IEC 27001:2022-10 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos
La norma está disponible en inglés en la página web de ISO.

Cambios normativos en ISO/IEC 27001:2022

Un cambio muy significativo añade el contexto de la organización en la cláusula 4.4 con el requisito de identificar los procesos necesarios y sus interacciones dentro del SGSI que se requieren para su implementación y mantenimiento. Este requisito explícito pone a la ISO/IEC 27001:2022 en línea con el enfoque de las mejores prácticas de otros sistemas de gestión de acuerdo con el HS (HLS). El sistema de gestión de la seguridad de la información debe basarse en procesos establecidos y trazables y en sus interacciones. Los controles de seguridad de la información del Anexo A se diseñan y adaptan en torno a estos procesos.

El siguiente cambio relevante en la cláusula 8.1 también hace hincapié en la importancia de la orientación a los procesos, que es común a todos los sistemas de gestión basados en la HS. Las organizaciones deben realizar procesos como parte de su planificación y control operativo para aplicar las medidas de gestión de los riesgos de seguridad de la información. La novedad es que ahora hay que definir los criterios de los procesos. El control de los procesos debe aplicarse de acuerdo con estos criterios.

Además, se han realizado aclaraciones y especificaciones de menor importancia en las siguientes cláusulas:

  • La cláusula 5.3 se complementa con el requisito explícito de que las responsabilidades y autoridades de las funciones relacionadas con la seguridad de la información se den a conocer dentro de la organización.
  • La cláusula 7.4 regula la necesidad de comunicación interna y externa en relación con el SGSI. Además de las disposiciones aún aplicables sobre el qué, el cuándo y el con quién, el cómo de la comunicación es una simplificación factible de los requisitos anteriores.
  • La cláusula 9.2 Auditoría interna y 9.3 Revisión por la dirección se han adaptado a la estructura armonizada. La cláusula 9.2 se subdivide ahora en 9.2.1 y 9.2.2, la cláusula 9.3 se divide en tres subdivisiones 9.3.1, 9.3.2 y 9.3.3.
  • El orden en que se estructuran las cláusulas 10.1 y 10.2 se ha adaptado a la estructura armonizada. El aspecto de la mejora continua prospectiva ahora precede al tratamiento retrospectivo de las no conformidades y las acciones correctivas de la cláusula 10.2 en la cláusula 10.1 sin más cambios en el contenido. Este ajuste subraya la importancia del proceso de mejora continua (CIP).

Los requisitos clave e inequívocos en ISO/IEC 27001 que hacen referencia al conjunto de controles en el Anexo A son, de acuerdo con la Cláusula 6.1.3 c), el proceso de comparación entre los controles de seguridad de la información específicos de la organización con los del Anexo A y, de acuerdo con Cláusula 6.1.3 d), la preparación de una Declaración de Aplicabilidad (SoA). ¡Estos requisitos básicos permanecen sin cambios!

Las explicaciones en las notas informativas (no normativas) de la Cláusula 6.1.3 c) con la referencia al Anexo A como una lista de posibles controles de seguridad de la información indican la posibilidad de seleccionar medidas adicionales de otras fuentes complementarias al Anexo A.

 

El nuevo Anexo A de ISO/IEC 27001:2022

La lista de posibles controles de seguridad de la información (IS) en el Anexo A normativo de la ISO/IEC 27001:2022 se deriva de forma idéntica a la ISO/IEC 27002:2022. El catálogo de controles generales de seguridad se publicó en febrero de 2022. Por lo tanto, los cambios en el Anexo A de la norma ISO/IEC 27001:2022 eran previsibles desde hace tiempo. Anteriormente, el Anexo A incluía un total de 114 controles que podían utilizarse para hacer frente a los riesgos de seguridad de la información bajo 35 objetivos de control organizados en 14 cláusulas.

Aparte de que la nueva ISO/IEC 27001:2022 elimina los objetivos de control, los controles de seguridad de la información del Anexo A han sido revisados, actualizados y complementados y reorganizados con algunos controles nuevos.

Las antiguas 14 cláusulas del Anexo A se centran ahora en los 4 temas siguientes:

A.5 Controles organizativos (con 37 controles).

A.6 Controles personales (con 8 controles)

A.7 Controles físicos (con 14 controles )

A.8 Controles técnicos (con 34 controles)

El Anexo A de la nueva versión ISO/IEC 27001:2022 incluye ahora un total de 93 controles, de los cuales los siguientes 11 son nuevos:

A.5.7 Inteligencia de amenazas

A.5.23 Seguridad de la información para el uso de servicios en la nube

A.5.30 Preparación de las TIC para la continuidad del negocio

A.7.4 Supervisión de la seguridad física

A.8.9 Gestión de la configuración

A.8.10 Borrado de información

A.8.11 Enmascaramiento de datos

A.8.12 Prevención de la fuga de datos

A.8.16 Monitorización de la actividad

A.8.23 Filtrado web

A.8.28 Codificación segura

Mientras que el anexo A de la norma ISO/IEC 27001:2022 se limita a nombrar los controles, la guía de implementación de la norma ISO/IEC 27002:2022 ofrece más opciones para clasificarlos. Allí, a cada control se le asignan cinco atributos que permiten diferentes puntos de vista y perspectivas sobre ellos. Los atributos o los valores de sus atributos pueden utilizarse para filtrar, ordenar o mostrar diferentes vistas de la organización.

Los cinco atributos son

Tipo de control es un atributo para la vista de los controles desde la perspectiva de cuándo y cómo una medida cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.

Propiedades de la seguridad de la información es un atributo para ver los controles desde la perspectiva de qué objetivo de protección pretende apoyar la medida.

Los Conceptos de Ciberseguridad consideran los controles desde la perspectiva de cómo se relacionan con el marco de ciberseguridad descrito en ISO/IEC TS 27110.

Capacidad operativa considera los controles desde la perspectiva de sus capacidades operativas de seguridad de la información y apoya una visión práctica del usuario de las medidas.

Los dominios de seguridad son un atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información.

ISO 27001 - Sistema de gestión de la seguridad de la información

Sistema de gestión holístico según la norma ISO ★ Aplicación efectiva de un proceso de gestión de riesgos ★ Mejora continua del nivel de seguridad

Más información sobre ISO 27001
dqs-shutterstock-1702088602.jpg
Loading...

Míralo ahora: Qué cambia con la nueva ISO/IEC 27001:2022

La nueva versión de ISO/IEC 27001, adaptada a los riesgos de la información contemporánea, se publicó el 25 de octubre de 2022. ¿Qué significa esto para los usuarios de la norma? En la grabación de nuestro seminario web gratuito, aprenderá sobre:

  • Nuevas características de ISO/IEC 27001:2022 - Marco y Anexo A
  • ISO/IEC 27002:2022-02 - estructura, contenido, atributos y hashtags
  • Cronograma para la transición y sus próximos pasos

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Esto da como resultado los siguientes plazos y plazos para la transición de los usuarios:

Preparación para la certificación según ISO/IEC 27001:2022

  • A más tardar a partir de noviembre de 2023 (según el organismo de acreditación alemán DAkks.

Última fecha para auditorías iniciales/recertificación según la "antigua" ISO 27001:2013

  • Después del 30 de abril de 2024, DQS realizará auditorías iniciales y de recertificación únicamente de acuerdo con la nueva norma ISO/IEC 27001:2022.

Transición de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022

  • Existe un período de transición de 3 años a partir del 31 de octubre de 2022.
  • Los certificados emitidos según ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 a más tardar o deben retirarse en esta fecha.

La nueva ISO/IEC 27001:2022 - Conclusión

La nueva ISO/IEC 27001:2022 está disponible. Esto marca el inicio del período de transición de 3 años.

En resumen, las principales novedades son las siguientes

  • Conformidad del sistema de gestión con la Estructura Armonizada.
  • Énfasis en la orientación de los procesos, sus interacciones y criterios.
  • Categorización simplificada y racionalizada de los controles en bloques temáticos.
  • Medidas contemporáneas alineadas con los métodos organizativos actuales y las amenazas asociadas.
  • Atributos para alinear los controles con diversas metodologías de gestión de riesgos, incluidos los marcos globales de ciberseguridad.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

¿Tiene alguna pregunta?

Póngase en contacto con nosotros

Sin compromiso y de forma gratuita.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido de los textos o sobre nuestros servicios a nuestro autor, no dude en enviarnos un correo electrónico.

Autor
Markus Jegelka

Experto en DQS para sistemas de gestión de seguridad de la información (ISMS) y auditor durante mucho tiempo de las normas ISO 9001, ISO/IEC 27001 y el catálogo de seguridad de TI según el párrafo 11.1a de la Ley de la industria energética alemana (EnWG)

 

Loading...