top of page
Buscar

ESTÁNDAR ISO 27001:2022 – UNA NUEVA VERSIÓN EN CIBERSEGURIDAD


ISO 27001 es el estándar de seguridad de la información internacional que asiste a las organizaciones, cual sea su rubro y/o tamaño, a gestionar esta misma. Brinda un marco de gestión para implementar un SGSI (sistema de gestión de seguridad de la información) y con ello, garantizar la confidencialidad, integridad y disponibilidad de todos los datos que manejen las empresas, ya que permite implementar controles que aseguren que la información se encuentra supervisada y protegida. (ISO, s.f.)


Este estándar ha sido actualizado desde su primera versión publicada en 2005, sin embargo, la idea de tener un estándar que evaluara ciertos criterios en materia de ciberseguridad ya había sido previamente considerada en 1995, en el Reino Unido con el Estándar Británico 7799, escrito por el Departamento de Comercio e Industria, DTI (por sus siglas en ingles), y a partir del mismo se empezaron a desarrollar estándares con especificaciones en un SGSI, que más tarde se volvió ISO 27001. (ISO 27000 Directory, s.f.)


Después de la versión publicada en 2005, la versión utilizada ha sido la del 2013, la cual se ha actualizado, teniendo cambios mínimos en 2014, 2015 y 2017. Y es ahora, la cual ha tenido cambios significativos los cuales se detallarán a continuación.


La versión ISO 27001:2022 fue publicada en octubre 25 del 2022, y con ello reemplazando a la versión del 2013. Los cambios de esta versión impactaran principalmente al Anexo A y ciertas clausulas en el SGSI.


CAMBIOS SIGNIFICATIVOS EN LA VERSIÓN ISO 27001 2022

CAMBIOS EN LA PARTE PRINCIPAL DEL ESTÁNDAR

Se ajustaron las siguientes cláusulas, para especificar ciertas adiciones al sistema de gestión (Kosutic, 2022):

  • 4.2 (c) Comprensión de las necesidades y expectativas de las partes interesadas – los requerimientos de las partes interesadas deberán ser indicados y se deberá determinar cuales se abordarán en el SGSI. El SGSI ahora especifica los procesos necesarios e interacciones.

  • 4.4 Sistema de gestión de la seguridad de la información - se agregó la planificación de los procesos y sus interacciones como parte del sistema.

  • 5.3 Funciones, responsabilidades y autoridades de la organización – se especifica que la comunicación de las funciones se realiza internamente.

  • 6.2 – Objetivos de seguridad de la información y planificación para lograrlos – se agrega el inciso (d) que indica que los objetivos seas monitoreados.

  • 6.3 Planificación de cambios – Se agrego una sección donde se especifica que cualquier cambio al sistema deber ser planificado, lo cual también se deberá poder demostrar.

  • 7.4 Comunicación – se removió el inciso (e), que requería procesos para la comunicación.

  • 8.1 Planificación y control operativo – Se incluyo que se establecieran criterios para los procesos de seguridad y para la implementación de controles en base a estos criterios. También se ha removido el requerimiento sobre implementación de planes para el logro de objetivos.

  • 9.3 Revisión de la dirección – se agregó el elemento 9.3.2 (c), el cual menciona que los aportes de las partes interesadas deben incluir cambios en las necesidades y expectativas de estas mismas.

  • 10 Mejora – las clausulas solo han cambiado de lugar, ahora la Mejora continua (10.1) es la primera, y la segunda es No conformidad y acción correctiva (10.2).

CAMBIOS EN EL ANEXO A

Como se ha mencionado anteriormente los cambios al Anexo A incluyen:

Nuevas secciones; en la versión previa del estándar se contaba con 14 secciones, ahora se incluyen solo 4 (IT Governance Ltd, 2022):

  • A.5 Controles organizaciones (37 controles)

  • A.6 Controles para el personal (8 controles)

  • A.7 Controles físicos (14 controles)

  • A.8 Controles tecnológicos (34 controles)

Nuevos controles; 11 nuevos controles agregados (Kosutic, 2022):

  • A.5.7 Inteligencia de amenazas

  • A.5.23 Seguridad de la información para el uso de servicios en la nube

  • A.5.30 Preparación de las TIC para la continuidad del negocio

  • A.7.4 Monitoreo de seguridad física

  • A.8.9 Gestión de la configuración

  • A.8.10 Eliminación de información

  • A.8.11 Enmascaramiento de datos

  • A.8.12 Prevención de fuga de datos

  • A.8.16 Actividades de seguimiento

  • A.8.23 Filtrado web

  • A.8.28 Codificación segura


Controles fusionados y separados; 57 controles han sido fusionados en 24, más 1 control dividido:

  • Revisión del Cumplimiento Técnico (18.2.3) se dividió en:

-Cumplimiento de políticas, normas y estándares de seguridad de la información

(5.3.6);

-Gestión de vulnerabilidades técnicas (8.8);


Controles renombrados; se renombraron 23 controles para su mejor comprensión.


Controles que no cambiaron; 35 controles permanecen sin cambios en su estructura.


USO DE ATRIBUTOS

Se ha introducido el concepto de atributos, el cual será útil para poder filtrar y agrupar los controles, lo cual a su vez ayudará a las organizaciones a entender su postura en materia de seguridad y adoptar las mejores prácticas (IT Governance Ltd, 2022):

  • Tipo de control (preventivo, detectivo, correctivo)

  • Propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad)

  • Conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar)

  • Capacidades operativas (gobernanza, gestión de activos, etc.)

  • Dominios de seguridad (gobernanza y ecosistema, protección, defensa, resiliencia)

¿CUÁL ES EL PROCESO DE CERTIFICACIÓN AHORA?

Para las organizaciones que buscan certificarse aun en ISO 27001:2013, tienen hasta abril del 2024 para completar esta certificación.Mientras que aquellas que ya tengan la certificación en ISO 27001:2022, tendrán hasta octubre del 2025 para completar la misma

Sin embargo, el 1ero de noviembre del 2025, todas las certificaciones en ISO 27001:2013 se considerarán expiradas, independientemente de la fecha de expiración que este impresa.


Esto significa que las organizaciones que aun planeen certificarse en la versión del 2013 deberán tener en cuenta la brecha entre abril del 2024 y octubre del 2025, que es cuando se deberá cambiar a la versión del 2022.


Para aquellas organizaciones que ya se encuentren certificadas en la versión del 2013, la transición es solo un cambio moderado que se puede identificar mediante una evaluación para identificar las diferencias, mayormente en el Anexo A con los nuevos controles, y empezar a trabajar en ellas. Una vez que esto se haya determinado, se recomendaría iniciar una auditoría interna, para su posterior certificación en la nueva versión del estándar.

La implementación de dicho estándar ayudará a crear una mejor conciencia de la seguridad de la información con el entendimiento de esta, a su vez que proporciona un mayor control sobre el Sistema de Gestión de Seguridad de la Información (SGSI) y todo lo que involucra (políticas, registro de activos, procedimientos, manejo de riesgos, cumplimiento, etcétera).


Autora

Odalys Vasquez

Ingeniero de Seguridad Junior



REFERENCIAS

  • ISO 27000 Directory. (n.d.). The ISO 27000 Directory. Retrieved from A Short History of the ISO 27000 Standards: https://www.27000.org/thepast.htm

  • ISO. (n.d.). ISO - International Organization for Standardization. Retrieved from ISO/IEC 27001 and related standards. Information security management: https://www.iso.org/isoiec-27001-information-security.html

  • IT Governance Ltd. (2022, Octubre). IT Governance. Retrieved from ISO 27001 and ISO 27002: 2022 updates: https://www.itgovernance.co.uk/iso27001-and-iso27002-2022-updates

  • Kosutic, D. (2022, Octubre 25). 27001Academy. Retrieved from ISO 27001 2013 vs. 2022 revision – What has changed?: https://advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002/

  • McGladrey, K. (2022, Diciembre 22). Hyperproof. Retrieved from How to Upgrade Your Security Program from ISO 27001:2013 to ISO 27001:2022: https://hyperproof.io/resource/upgrade-iso-270012013-iso-270012022/



61 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Zero Trust Cybersecurity

Introducción En el mundo digital actual, donde las amenazas en línea son una gran preocupación, los métodos de seguridad tradicionales no siempre son suficientes. Ahí es donde entra en juego la cibers

Comments


bottom of page