Los procesos empresariales de valor añadido están impulsados por la información y los datos. Sin el intercambio de información, nada funciona en nuestra economía digital. Nuestros servicios básicos se basan en infraestructuras críticas cuya funcionalidad depende en gran medida del intercambio de información y datos. La seguridad de la información se extiende a la realidad de nuestro trabajo y nuestras vidas. Proteger las operaciones diarias basadas en la información, los datos críticos y la propiedad intelectual de las ciberamenazas es, por tanto, un imperativo para las empresas de todos los tamaños. En esta era de ciberataques industrializados, la adaptación a los riesgos de seguridad de la información, siempre cambiantes, requiere un enfoque oportuno y flexible para construir la resiliencia de la empresa.


Y aquí es exactamente donde entra la nueva ISO/IEC 27001:2022 con su enfoque en la orientación de procesos en la gestión de la seguridad de la información. Durante más de dos décadas, la norma ISO 27001 ha sido una base establecida, aunque envejecida, para los sistemas de gestión de la seguridad de la información. Y a pesar de su antigüedad, según la encuesta de la ISO, la norma pudo crecer con un aumento del 32% de los certificados en el pasado año 2021. Con el telón de fondo de la creciente demanda de un marco contemporáneo de evaluación de la seguridad de la información, la nueva ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. ¿Qué nos espera?

Loading...

Resumen de las nuevas características de la norma ISO 27001:2022

La norma ISO 27001 describe el marco para un sistema de gestión de la seguridad de la información (SGSI), y ello para las empresas independientemente de su estructura organizativa, tamaño u orientación. El eje central es la gestión de riesgos. Las cambiantes ciberamenazas explotan constantemente nuevas vulnerabilidades potenciales en las empresas con el objetivo de atacar y comprometer los flujos de información y, por tanto, los procesos empresariales. Los riesgos que se derivan de este mecanismo sobre los tres objetivos esenciales de protección de la seguridad de la información -confidencialidad, integridad y disponibilidad- deben ser identificados y gestionados.

La actualización de la norma ISO/IEC 27001:2022 aborda las mejores prácticas para gestionar estos riesgos de seguridad de la información. La lista de posibles controles de seguridad de la información en el Anexo A normativo de la nueva ISO/IEC 27001:2022 es idéntica a la guía revisada ISO/IEC 27002:2022. La guía de implementación ya fue adoptada en febrero de este año con una taxonomía más simple y controles de seguridad contemporáneos. Con la nueva ISO/IEC 27001:2022 ya publicada, el exitoso tándem de normas ISO 27001/27002, con sus valiosas medidas recomendadas, vuelve a estar a la última.

ISO/IEC 27001:2022-10 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos
La norma está disponible en inglés en la página web de ISO.

Otro cambio significativo en la nueva ISO/IEC 27001:2022 es que, con la adaptación a la llamada Estructura Armonizada, el requisito largamente esperado de la orientación a los procesos se sitúa en el foco de un SGSI eficaz. La base de los sistemas de gestión eficaces son los procesos claros y sus interacciones, así como los criterios orientados a los objetivos de estos procesos para su control.

A continuación, examinaremos con más detalle las tres áreas de cambio de la nueva versión de la norma ISO 27001.

La estructura de alto nivel se convierte en una estructura armonizada

A partir de mayo de 2021, la anterior Estructura de Alto Nivel (HLS) será sustituida por la Estructura Armonizada (HS). La HS es la estructura básica y la plantilla para el desarrollo de nuevas y futuras revisiones de las normas de sistemas de gestión ISO existentes. La norma ISO/IEC 27001:2022 es una de las primeras normas de sistemas de gestión que se ha adaptado a la HS. Varias aclaraciones, adiciones, pero también supresiones en el HS en comparación con el HLS son bastante interesantes para los usuarios que están familiarizados con la norma.

Sin embargo, en el caso de la norma ISO/IEC 27001:2022, se aprecia directamente una importante derivación del SA. En el futuro, la cláusula 6.3 requerirá que los cambios en el SGSI se implementen de manera planificada. Este requisito es familiar de otros sistemas de gestión y expresa la expectativa de que un proceso de cambio relacionado con el SGSI ha sido dominado. Por ejemplo, la transición de la anterior ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022 puede entenderse como un cambio en el SGSI que debe implementarse de forma planificada con todos sus efectos e interacciones.

ISO 27001 - Sistema de gestión de la seguridad de la información

Sistema de gestión holístico según la norma ISO ★ Aplicación efectiva de un proceso de gestión de riesgos ★ Mejora continua del nivel de seguridad

More in­fo­r­ma­tion about ISO 27001

Cambios normativos en ISO/IEC 27001:2022

Un cambio muy significativo añade el contexto de la organización en la cláusula 4.4 con el requisito de identificar los procesos necesarios y sus interacciones dentro del SGSI que se requieren para su implementación y mantenimiento. Este requisito explícito pone a la ISO/IEC 27001:2022 en línea con el enfoque de las mejores prácticas de otros sistemas de gestión de acuerdo con el HS (HLS). El sistema de gestión de la seguridad de la información debe basarse en procesos establecidos y trazables y en sus interacciones. Los controles de seguridad de la información del Anexo A se diseñan y adaptan en torno a estos procesos.

El siguiente cambio relevante en la cláusula 8.1 también hace hincapié en la importancia de la orientación a los procesos, que es común a todos los sistemas de gestión basados en la HS. Las organizaciones deben realizar procesos como parte de su planificación y control operativo para aplicar las medidas de gestión de los riesgos de seguridad de la información. La novedad es que ahora hay que definir los criterios de los procesos. El control de los procesos debe aplicarse de acuerdo con estos criterios.

Además, se han realizado aclaraciones y especificaciones de menor importancia en las siguientes cláusulas:

  • La cláusula5.3 se complementa con el requisito explícito de que las responsabilidades y autoridades de las funciones relacionadas con la seguridad de la información se den a conocer dentro de la organización.
  • La cláusula7.4 regula la necesidad de comunicación interna y externa en relación con el SGSI. Además de las disposiciones aún aplicables sobre el qué, el cuándo y el con quién, el cómo de la comunicación es una simplificación factible de los requisitos anteriores.
  • La cláusula9.2 Auditoría interna y 9.3 Revisión por la dirección se han adaptado a la estructura armonizada. La cláusula 9.2 se subdivide ahora en 9.2.1 y 9.2.2, la cláusula 9.3 se divide en tres subdivisiones 9.3.1, 9.3.2 y 9.3.3.
  • El orden en que se estructuran las cláusulas 10.1 y 10.2 se ha adaptado a la estructura armonizada. El aspecto de la mejora continua prospectiva ahora precede a la gestión retrospectiva de las no conformidades y las acciones correctivas de la cláusula10.2 en la cláusula 10.1 sin más cambios en el contenido. Este ajuste subraya la importancia del proceso de mejora continua (CIP).

Otra aclaración se refiere a la selección de las medidas de gestión de los riesgos para la seguridad de la información , cláusula 6.1.3 c). Éstas deben definirse teniendo en cuenta los resultados de la evaluación de riesgos y compararse con los controles del Apéndice A. El enfoque se mantiene sin cambios. Sin embargo, la nota explicativa de la anterior ISO 27001 se refería al Anexo A con el requisito bastante obsesivo de que contenga una lista exhaustiva de objetivos de control y controles.

En la nueva ISO/IEC 27001:2022, esta referencia al Anexo A puede entenderse como una lista de posibles controles de seguridad de la información más abierta y, por tanto, de aplicación más flexible.

En pocas palabras, el Anexo A de la norma ISO/IEC 27001:2022 debe seguir considerándose como un todo, como parte del requisito obligatorio de la cláusula 6.1.3 c), pero el conjunto de medidas individuales de seguridad de la información que contiene puede ser seleccionado, diseñado y ampliado de forma más flexible por el usuario. La nueva versión de la norma ISO/IEC 27001 hace hincapié aquí en la apertura del marco del sistema de gestión para los conjuntos de controles específicos de la organización.

El nuevo Anexo A de ISO/IEC 27001:2022

La lista de posibles controles de seguridad de la información (IS) en el Anexo A normativo de la ISO/IEC 27001:2022 se deriva de forma idéntica a la ISO/IEC 27002:2022. El catálogo de controles generales de seguridad se publicó en febrero de 2022. Por lo tanto, los cambios en el Anexo A de la norma ISO/IEC 27001:2022 eran previsibles desde hace tiempo. Anteriormente, el Anexo A incluía un total de 114 controles que podían utilizarse para hacer frente a los riesgos de seguridad de la información bajo 35 objetivos de control organizados en 14 cláusulas.

Aparte de que la nueva ISO/IEC 27001:2022 elimina los objetivos de control, los controles de seguridad de la información del Anexo A han sido revisados, actualizados y complementados y reorganizados con algunos controles nuevos.

Las antiguas 14 cláusulas del Anexo A se centran ahora en los 4 temas siguientes:

A.5 Controles organizativos (con 37 controles).

A.6 Controles personales (con 8 controles)

A.7 Controles físicos (con 14 controles )

A.8 Controles técnicos (con 34 controles)

El Anexo A de la nueva versión ISO/IEC 27001:2022 incluye ahora un total de 93 controles, de los cuales los siguientes 11 son nuevos:

A.5.7 Inteligencia de amenazas

A.5.23 Seguridad de la información para el uso de servicios en la nube

A.5.30 Preparación de las TIC para la continuidad del negocio

A.7.4 Supervisión de la seguridad física

A.8.9 Gestión de la configuración

A.8.10 Borrado de información

A.8.11 Enmascaramiento de datos

A.8.12 Prevención de la fuga de datos

A.8.16 Monitorización de la actividad

A.8.23 Filtrado web

A.8.28 Codificación segura

Mientras que el anexo A de la norma ISO/IEC 27001:2022 se limita a nombrar los controles, la guía de implementación de la norma ISO/IEC 27002:2022 ofrece más opciones para clasificarlos. Allí, a cada control se le asignan cinco atributos que permiten diferentes puntos de vista y perspectivas sobre ellos. Los atributos o los valores de sus atributos pueden utilizarse para filtrar, ordenar o mostrar diferentes vistas de la organización.

Los cinco atributos son

Tipo de control es un atributo para la vista de los controles desde la perspectiva de cuándo y cómo una medida cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.

Propiedades dela seguridad de la información es un atributo para ver los controles desde la perspectiva de qué objetivo de protección pretende apoyar la medida.

LosConceptos de C iberseguridad consideran los controles desde la perspectiva de cómo se relacionan con el marco de ciberseguridad descrito en ISO/IEC TS 27110.

Capacidad operativa considera los controles desde la perspectiva de sus capacidades operativas de seguridad de la información y apoya una visión práctica del usuario de las medidas.

Los dominios de seguridad son un atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información.

¿Qué significa la actualización para su certificación?

La nueva y mejorada versión de la norma ISO/IEC 27001 se publicó el 25 de octubre de 2022. Esto da lugar a los siguientes plazos de transición y fechas límite para los usuarios de la norma:

  • Preparación para la certificación según la norma ISO/IEC 27001:2022
    -> probablemente de febrero a abril de 2023
    (dependiendo del organismo de acreditación alemán DAkkS)
  • Última fecha para las auditorías iniciales/de recertificación según la antigua ISO 27001:2013
    -> 18 meses después de la publicación de la nueva ISO/IEC 27001:2022
  • Transición de todos los certificados existentes a la nueva ISO/IEC 27001:2022
    -> 3 años, relacionados con el último día del mes de emisión de
    ISO/IEC 27001:2022 (octubre de 2025)

Los plazos para la transición son los de la norma ISO.

ISO 27001 - Sistema de gestión de la seguridad de la información

Sistema de gestión holístico según la norma ISO ★ Aplicación efectiva de un proceso de gestión de riesgos ★ Mejora continua del nivel de seguridad

More in­fo­r­ma­tion about ISO 27001

La nueva ISO/IEC 27001:2022 - Conclusión

La nueva ISO/IEC 27001:2022 está disponible. Esto marca el inicio del período de transición de 3 años.

En resumen, las principales novedades son las siguientes

  • Conformidad del sistema de gestión con la Estructura Armonizada.
  • Énfasis en la orientación de los procesos, sus interacciones y criterios.
  • Categorización simplificada y racionalizada de los controles en bloques temáticos.
  • Medidas contemporáneas alineadas con los métodos organizativos actuales y las amenazas asociadas.
  • Atributos para alinear los controles con diversas metodologías de gestión de riesgos, incluidos los marcos globales de ciberseguridad.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Do you have any questions?

Póngase en contacto con nosotros

Sin compromiso y de forma gratuita.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido de los textos o sobre nuestros servicios a nuestro autor, no dude en enviarnos un correo electrónico.