ISO 27001 Última Versión 2022: Novedades y Cambios Más Importantes

¿Por qué se actualizó la ISO 27001?

La nueva versión de ISO 27001 se publicó el 25 de octubre de 2022; la última revisión de la norma fue en 2013. Aunque no incluye cambios drásticos con respecto a la versión anterior es importante revisar los cambios que debes tener en cuenta, sobre todo si tu empresa ya está certificada porque a más tardar en tres años tendrá que recertificarse y es importante que sepas en qué aspectos poner atención para lograrlo fácilmente.

Dada la naturaleza en rápida evolución del mundo digital, es un tanto sorprendente que la ISO 27001 haya resistido la prueba del tiempo durante 9 años, siendo al mismo tiempo altamente considerada como el estándar en seguridad de la información. Esto solo sirve para enfatizar la estabilidad y resistencia de este estándar internacional.

Adquiere la nueva versión de la norma en la página oficial de la ISO

En medio de la Cuarta Revolución Industrial, la interdependencia sistémica crea costos al alza del riesgo cibernético y tiene un valor mucho mayor, las organizaciones cada vez más no sólo son lo suficientemente vulnerables como para admitir que no pueden hacerlo solas, sino que también tienen la confianza y el conocimiento suficientes para darse cuenta de que es mejor que las empresas ni siquiera lo intenten por sí mismas, sino guiadas por un método de trabajo probado y eficaz.

Para abordar estos desafíos de seguridad en la información, las organizaciones deben mejorar su resiliencia e implementar de forma eficiente técnicas de mitigación de riesgos.

Beneficios de la ISO 27001 Última Versión

Estos son algunos de los beneficios que ISO/IEC 27001 ofrece a tu empresa con la nueva versión:

1. Información segura en todas sus formas, incluidas copias impresas no digitales.
2. Datos digitales mejor protegidos.
3. Protocolos de seguridad de la información basados en la nube.
4. Aumentar la resiliencia cibernética.
5. Marco administrado central que consolida toda la información con procesos únicos y eficaces para evitar la procesoesclerosis.
6. Garantía de protección general sobre medios, recursos y sistemas de información, incluso contra los riesgos digitales y otras amenazas.
7. Implementación de un proceso de evaluación y respuesta a las amenazas de seguridad en evolución permanente.
8. Políticas, procesos y procedimientos para la integridad, confidencialidad y disponibilidad de los datos.

La actualización 2022 de ISO 27001 especifica los requisitos para establecer, implementar, mantener, monitorear y mejorar continuamente un SGSI (Sistema de Gestión de Seguridad de la Información).

La documentación también incluye requisitos para la evaluación y la implementación de estrategias de riesgos de seguridad de la información que se aplican de forma genérica a todas las organizaciones, grandes y pequeñas, en todo el mundo y en todas las industrias.

Algo que permanece igual y que es muy conveniente, es que la estructura de la norma no cambia y por lo tanto para superar la auditoría de conformidad se requiere el cumplimiento de las cláusulas 4 a 10, como era en la versión anterior, algo que es muy práctico si tu empresa ya está certificada.

¿Qué ha cambiado en la ISO 27001:2022?

Para comenzar, el nombre de la norma ha cambiado y ahora se titula “ISO/IEC 27001:2022, Seguridad de la información, ciberseguridad y protección de la privacidad”.

Para mantenerse al día con la tecnología y las amenazas de seguridad más recientes, la norma ISO/IEC 27001 adoptó los tres principios básicos para un buen sistema de gestión de seguridad de la información:

1. Confidencialidad.
2. Integridad.
3. Disponibilidad.

Para gran satisfacción de las organizaciones que invirtieron recursos en el cumplimiento de la versión anterior, la nueva versión no requiere una revisión completa del proceso de certificación, ni mucho menos.

Las principales revisiones incluyen un cambio importante al Anexo A y actualizaciones menores de las cláusulas obligatorias. A continuación, te explico lo más relevante de ambos.

Anexo A: una nueva lista y clasificación de controles de seguridad de la información

Los cambios más importantes es que se eliminaron redundancias en algunos controles, por lo que se eliminaron algunos y se agregaron nuevos, motivado principalmente por las nuevas tecnologías y también por los cambios de hábitos de trabajo derivados de la epidemia de COVID-19.

Sin embargo, esto no generó un mayor número de controles en el Anexo A, sino al contrario.  Ahora dicho anexo antes llamado "Objetivos y controles de referencia" se titula "Referencia de controles de seguridad de la información" y su número disminuyó de 114 a 93 controles, reclasificados en la siguiente forma:

En la versión anterior los controles estaban agrupados en 14 categorías, en esta versión se agruparon sólo en las siguientes 4 categorías:

1. Controles Organizacionales: 37.
2. Personas: 8.
3. Controles Físicos: 14.
4. Controles Tecnológicos: 34.

Los más importantes y en los que deberás poner mayor atención en esta nueva versión para tu siguiente auditoría de certificación son los siguientes:

1. Sistema de gestión de contraseñas.
2. Zonas de entrega y carga.
3. Equipo de usuario desatendido.
4. Políticas de seguridad de la información.
5. Protección de la información de registro.
6. Eliminación de activos.
7. Uso de activos.
8. Restricciones en la instalación de software.
9. Mensajería electrónica.
10. Protección de servicios de aplicaciones en redes públicas.
11. Pruebas de aceptación del sistema.
12. Revisión de cumplimiento técnico.
13. Protección de transacciones de servicios de aplicaciones.
14. Propiedad de los activos.
15. Evaluación permanente de debilidades en la seguridad de la información.
16. Política de dispositivos móviles,

Además, por la obvia razón de que son nuevos, también debes poner mayor atención en los controles nuevos, que son los siguientes:

1. Inteligencia de amenazas.
2. Seguridad de la información para el uso de servicios en la nube.
3. Continuidad del negocio.
4. Monitoreo de seguridad física.
5. Gestión de la configuración.
6. Eliminación de información.
7. Enmascaramiento de datos.
8. Prevención de fuga de datos.
9. Actividades de seguimiento.
10. Filtrado web.
11. Codificación segura.

Para facilitar el análisis de los controles y así puedas determinar con mayor eficiencia qué controles te aplican y cuáles no, se clasificaron además por atributos o aportes de valor de seguridad de la información y son los siguientes:

1. Tipo de control.
2. Propiedades de seguridad de la información.
3. Conceptos de ciberseguridad.
4. Capacidades operativas.
5. Dominios de seguridad.

Mi personal punto de vista sobre la nueva versión del Anexo A es que por hacerlo simple sólo proporciona una breve descripción general de cada control y aunque esto es positivo, puede provocar una mayor dificultad para comprender cómo implementar el control a las organizaciones que se certificarán por primera vez.

Para ese tipo de empresas es que además de los requisitos se publicó ISO 27002, que es un estándar complementario y ofrece una descripción detallada de los controles de seguridad de la información, dedicando aproximadamente una página a cada control con una explicación de cómo funciona y cómo implementarlo.

Cláusulas obligatorias y sus cambios

Como también ya te adelanté, las cláusulas obligatorias siguen siendo las mismas:

• 4- Contexto de la organización.
• 5- Liderazgo.
• 6- Planificación.
• 7- Soporte.
• 8- Operación.
• 9- Evaluación del desempeño.
• 10- Mejora.

Se realizaron cambios menores de sintaxis y utilización de palabras o tecnicismos más apropiados en las 4.2, 6.2, 6.3 y 8.1.

Los cambios mayores se hicieron en las siguientes cláusulas:

• 4.4- Sistema de gestión de seguridad de la información. – Esta nueva cláusula requiere que se identifiquen los procesos y “sus interacciones”. Debe identificar el alcance de los requisitos relevantes de las partes interesadas y determinar cuáles se abordarán a través del SGSI.
• 6.2- Objetivos de seguridad de la información. – Los objetivos deben estar documentados y estar disponibles como “información documentada” para todas las partes interesadas. Esta es una nueva sección sobre el tema de la planificación de cambios en el SGSI, pero no demuestra un proceso específico.
• 8.1- Planificación y control operativo, - Este requisito reemplaza el requisito original de planificar cómo lograr los objetivos de seguridad de la información. Las organizaciones ahora deben definir criterios para los procesos operativos y controlar esos procesos de acuerdo con los criterios.
• 9- Evaluación del desempeño. - Los métodos para evaluar y monitorear sus controles deben ser comparables y reproducibles para que la organización pueda analizar las tendencias.
• 9.2- Auditorías internas. – Las evaluaciones internas deben cubrir todos los requisitos de la organización, no sólo la norma ISO 27001.

Período de transición

La transición a la nueva revisión para las empresas que ya están certificadas es ISO 27001:2013 debe realizarse antes del 31 de octubre de 2025.

Es importante que pongas especial atención en lo siguiente:

1. La actualización de tu proceso de tratamiento de riesgos con los nuevos controles descritos.
2. La actualización de tu declaración de aplicabilidad.
3. La actualización de las secciones relevantes de tus políticas y procedimientos actuales.

Certificación oficial

Aquí no hay cambios, la organización que quiera certificarse deben someterse a auditorías de certificación, demostrando que ha implementado los requisitos de la norma y los controles del Anexo A que le apliquen.

Sigue vigente:

1. La definición del alcance del SGSI.
2. La definición de la política de seguridad.
3. El proceso de evaluación de riesgos.
4. Las evidencias de competencia.
5. Las evidencias de monitoreo.
6. Las evidencias de auditorías.