#27002: Una refrescante revisión de la norma con una estructura racionalizada, nuevo contenido e indexación contemporánea. La actualización de la norma ISO/IEC 27002 se ha publicado en el primer trimestre de 2022 como presagio de la revisión de la norma ISO/IEC 27001 prevista para el cuarto trimestre de 2022. Lea aquí qué ha cambiado con la nueva ISO 27002:2022 - y qué significa esto en términos de la revisión de ISO 27001:2022.
ISO 27002 e ISO 27001
La norma ISO 27002 define un amplio catálogo de medidas generales de seguridad que deberían ayudar a las empresas a aplicar los requisitos del anexo A de la norma ISO 27001, y se ha establecido como una guía práctica estándar en muchos departamentos de TI y seguridad como herramienta reconocida. A principios de 2022, la norma ISO 27002 se revisó y actualizó exhaustivamente, un paso que muchos expertos consideraban necesario, teniendo en cuenta el desarrollo dinámico de las TI en los últimos años y sabiendo que las normas se revisan cada cinco años para comprobar su actualización.
Para las empresas con un certificado ISO 27001 -o las que quieran abordar la certificación en un futuro próximo-, las novedades que se han introducido ahora son relevantes en dos aspectos: En primer lugar, en lo que respecta a las actualizaciones necesarias de sus propias medidas de seguridad; pero, en segundo lugar, porque estos cambios repercutirán en la actualización de ISO 27001 prevista para finales de año y, por tanto, serán relevantes para todas las certificaciones y recertificaciones futuras. Razón más que suficiente, por tanto, para echar un vistazo más de cerca a la nueva ISO 27002.
Nota: ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de seguridad de la información. Actualmente, la norma sólo se publica en inglés y puede solicitarse en el sitio web de ISO.
Nueva estructura y nuevos temas
El primer cambio obvio en la norma ISO 27002:2022 es la estructura actualizada y significativamente simplificada de la norma: en lugar de las 114 medidas de seguridad (controles) anteriores en 14 secciones, el conjunto de referencia de la versión actualizada ISO 27002 comprende ahora 93 controles, que están claramente subdivididos y resumidos en 4 áreas temáticas:
- 37 medidas de seguridad en el apartado "Controles organizativos
- 8 medidas de seguridad en el área de "Controles de personas".
- 14 medidas de seguridad en el área de "Controles físicos".
- 34 medidas de seguridad en el área de "Controles tecnológicos".
A pesar de la reducción del número de medidas de seguridad, en realidad sólo se ha suprimido el control "Retirada de activos". La racionalización se debe al hecho de que 24 medidas de seguridad de los controles existentes se combinaron y reestructuraron para cumplir los objetivos de protección de manera más específica. Otras 58 medidas de seguridad se revisaron y adaptaron para cumplir los requisitos actuales.
La nueva edición de la norma ISO 27002 ofrece a los responsables de la seguridad de la información una perspectiva precisa de los cambios que se convertirán en la nueva norma de certificación con la nueva edición de la norma ISO 27001.
Nuevas medidas de seguridad
Además, y esta es probablemente la parte más emocionante de la actualización, la norma ISO 27002 se ha ampliado con 11 medidas de seguridad adicionales en la nueva versión. Ninguna de estas medidas será una sorpresa para los expertos en seguridad, pero tomadas en conjunto envían una fuerte señal y ayudan a las empresas a armar sus estructuras organizativas y arquitecturas de seguridad contra los escenarios de amenazas actuales y futuras de manera oportuna.
Las nuevas medidas son
Inteligencia sobre amenazas
Capturar, consolidar y analizar la inteligencia sobre amenazas actuales permite a las organizaciones mantenerse al día en un entorno de amenazas cada vez más dinámico y cambiante. En el futuro, el análisis basado en pruebas de la información sobre ataques desempeñará un papel clave en la seguridad de la información para desarrollar las mejores estrategias de defensa posibles.
Seguridad de la información para el uso de servicios en la nube
Hoy en día, muchas organizaciones dependen de servicios basados en la nube. Con ello llegan nuevos vectores de ataque y los cambios que los acompañan, así como superficies de ataque significativamente mayores. En el futuro, las empresas tendrán que considerar medidas de protección adecuadas para su introducción, uso y administración, y hacerlas vinculantes en sus normas contractuales con los proveedores de servicios en la nube.
Preparación de las TIC para la continuidad empresarial
La disponibilidad de las tecnologías de la información y la comunicación (TIC) y de sus infraestructuras es esencial para la continuidad de las operaciones en las empresas. La base de las organizaciones resilientes son los objetivos de continuidad de negocio planificados y los requisitos de continuidad de las TIC derivados, aplicados y verificados a partir de ellos. Los requisitos para la recuperación técnica y oportuna de las TIC tras un fallo establecen conceptos viables de continuidad empresarial.
Vigilancia de la seguridad física
Las intrusiones en las que se roban datos sensibles o soportes de datos de la empresa o se ponen en peligro representan un riesgo importante para las empresas. Los controles técnicos y los sistemas de vigilancia han demostrado su eficacia para disuadir a posibles intrusos o detectar su intrusión inmediatamente. En el futuro, serán componentes estándar de los conceptos holísticos de seguridad para detectar y disuadir el acceso físico no autorizado.
Gestión de la configuración
Los atacantes pueden abusar de los sistemas mal configurados para acceder a recursos críticos. Aunque anteriormente estaba poco representada como subconjunto de la gestión del cambio, la gestión sistemática de la configuración se considera ahora una medida de seguridad por derecho propio. Requiere que las organizaciones supervisen la correcta configuración de hardware, software, servicios y redes, y que endurezcan sus sistemas adecuadamente.
Eliminación de información
Desde la entrada en vigor del Reglamento General de Protección de Datos, las organizaciones deben disponer de mecanismos adecuados para eliminar los datos personales previa solicitud y garantizar que no se conservan más tiempo del necesario. Este requisito se amplía a toda la información en la norma ISO 27002. La información sensible no debe conservarse más tiempo del necesario para evitar el riesgo de divulgación no deseada.
DQS Audit Guide for ISO 27001
Valuable expertise
Enmascaramiento de datos
El objetivo de esta medida de seguridad es proteger los datos o elementos de datos sensibles (por ejemplo, datos personales) mediante enmascaramiento, seudonimización o anonimización. El marco para la aplicación adecuada de estas medidas técnicas lo proporcionan los requisitos legales, estatutarios, reglamentarios y contractuales.
Prevención de fugas de datos
Se requieren medidas de seguridad preventivas para mitigar el riesgo de divulgación y extracción no autorizadas de datos sensibles de sistemas, redes y otros dispositivos. Los canales potenciales para la fuga incontrolada de esta información identificada y clasificada (por ejemplo, correo electrónico, transferencias de archivos, dispositivos móviles y dispositivos de almacenamiento portátiles) deben ser supervisados y, si es necesario, apoyados técnicamente por medidas activas de prevención (por ejemplo, cuarentena de correo electrónico).
Actividades de supervisión
Los sistemas de supervisión de anomalías en redes, sistemas y aplicaciones forman ya parte del repertorio estándar de los departamentos de TI. Del mismo modo, la exigencia de utilizar sistemas de detección de ataques se ha hecho un hueco en los actuales requisitos legales y reglamentarios. La supervisión continua, la recopilación automática y la evaluación de los parámetros y características adecuados de las operaciones informáticas en curso son imprescindibles en la ciberdefensa proactiva y seguirán impulsando las tecnologías en este ámbito.
Filtrado web
Muchos sitios web no fiables infectan a los visitantes con programas maliciosos o leen sus datos personales. El filtrado avanzado de URL puede utilizarse para filtrar automáticamente los sitios web potencialmente peligrosos con el fin de proteger a los usuarios finales. Las medidas y soluciones de seguridad para protegerse de contenidos maliciosos en sitios web externos son esenciales en un mundo empresarial globalmente conectado.
Codificación segura
Las vulnerabilidades en el código desarrollado internamente o en los componentes de código abierto son un peligroso punto de ataque que permite a los ciberdelincuentes acceder fácilmente a datos y sistemas críticos. Las directrices de desarrollo de software actualizadas, los procedimientos de prueba automatizados, los procedimientos de publicación de cambios en el código, la gestión de los conocimientos de los desarrolladores y las estrategias de parcheo y actualización bien pensadas aumentan significativamente el nivel de protección.
Atributos y valores de atributos
En la norma ISO 27002:2022 se introdujo por primera vez otra innovación para ayudar a los responsables de seguridad a navegar por la amplia combinación de medidas: En el Anexo A de la norma, se almacenan cinco atributos con valores de atributo asociados para cada control.
Los atributos y valores de atributo son:
Tipos de control
- Eltipo de control es un atributo para la visión de los controles desde el punto de vista de cuándo y cómo un control cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.
- #preventivo #detectivo #correctivo
Propiedades de seguridad de la información
- Las propiedades de seguridad de la información son un atributo que se puede utilizar para ver los controles desde la perspectiva de qué objetivo de protección pretende apoyar el control.
- #confidencialidad integridad disponibilidad
Conceptos de ciberseguridad
- Los conceptos deciberseguridad observan los controles desde la perspectiva de la asignación de controles al marco de ciberseguridad descrito en ISO/IEC TS 27110.
- #Identificar Proteger Detectar Responder Recuperar
Capacidades operativas
- Lacapacidad oper ativa examina los controles desde la perspectiva de sus capacidades operativas de seguridad de la información y apoya una visión práctica de los controles por parte del usuario.
- #Seguridad de las aplicaciones Gestión de activos Continuidad Protección de datos Gobernanza Seguridad de los recursos humanos Gestión de identidades y accesos Gestión de eventos de seguridad de la información Cumplimiento de la normativa Seguridad física Configuración segura Garantía de seguridad Seguridad de las relaciones con los proveedores Seguridad de sistemas y redes Gestión de amenazas y vulnerabilidades
Dominios de seguridad
- Los dominios deseguridad son un atributo que puede utilizarse para ver los controles desde la perspectiva de cuatro dominios de seguridad de la información
- #Gobernanza_y_Ecosistema #Protección #Defensa #Resiliencia
Los valores de los atributos marcados con hashtags tienen por objeto facilitar a los responsables de seguridad su orientación en el amplio catálogo de medidas de la guía normalizada, así como su búsqueda y evaluación de forma selectiva.
Cambios en la norma ISO 27002: Una conclusión
La nueva edición de la norma ISO 27002 ofrece a los responsables de la seguridad de la información una perspectiva precisa de los cambios que se convertirán en la nueva norma de certificación con la nueva edición de la norma ISO 27001. Al mismo tiempo, las innovaciones se mantienen dentro de un marco manejable: La reestructuración del catálogo de medidas hace que la norma sea más transparente y es, sin duda, un paso en la dirección correcta en vista de la creciente complejidad y la disminución de la transparencia de las arquitecturas de seguridad. Las nuevas medidas no sorprenderán a los expertos en seguridad y modernizarán considerablemente la anticuada norma ISO.
Certificación según ISO 27001
¿Cuánto esfuerzo debe invertir para obtener la certificación de su SGSI según la norma ISO 27001? Infórmese gratuitamente y sin compromiso.
Estaremos encantados de hablar con usted.
Qué significa la actualización para su certificación
Las empresas certificadas según la norma ISO 27001 no deben temer las próximas auditorías de certificación o recertificación: En esencia, la norma sigue intacta y es probable que muchas de las nuevas medidas ya estén integradas en las mejores prácticas de la empresa. No obstante, como ocurre con cualquier otra certificación, es aconsejable que los equipos planifiquen con suficiente antelación y preparen cuidadosamente la auditoría del sistema de gestión de la seguridad de la información (SGSI). No hay premura de tiempo: tras la publicación de la norma (prevista para el cuarto trimestre de 2022), habrá 36 meses para la transición a la nueva ISO 27001:2022.
DQS: Simplemente aprovechando la Calidad
Nuestras auditorías de certificación le aportan claridad. La visión holística y neutral desde el exterior sobre las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión, su implantación y su dominio. Para nosotros es importante que perciba nuestra auditoría no como una prueba, sino como un enriquecimiento de su sistema de gestión.
Nuestra demanda siempre empieza donde acaban las listas de comprobación de auditorías. Preguntamos específicamente "por qué", porque queremos entender los motivos que le llevaron a elegir una determinada forma de implantación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. De este modo, podrá identificar opciones de actuación con las que mejorar continuamente su sistema de gestión.
Boletín DQS
André Saeckel
Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria del automóvil). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.