Seguridad

Nueva Versión ISO 27001:2022

🕑 6 minutos de lectura

La evolución de la norma ISO 27001

Actualmente existe una indudable necesidad de implantar medidas eficaces de ciberseguridad en las organizaciones debido a la creciente tendencia de los ataques de seguridad. Por ello, las compañías buscan demostrar confianza a sus clientes y compromiso con la seguridad de la información que manejan.

Como consecuencia, la implantación de las conocidas normas ISO es una realidad. Se trata de estándares desarrollados y publicados por la Organización Internacional de Normalización (ISO) y que tienen como principal objetivo regularizar procesos específicos sobre diferentes ámbitos.

En este caso, nos centraremos en la seguridad de la información, abordada en la llamada familia ISO 27000 donde destaca su norma principal, la ISO 27001:2022. Esta norma en concreto especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI).

Recientemente la norma tratada en este artículo ha sido objeto de actualización e incluye algunas novedades. Una nueva versión de esta fue publicada el pasado 25 de octubre del 2022. Esta versión ha traído consigo múltiples cambios en el estándar, creando una necesidad de adaptación a todas las organizaciones certificadas en la misma. A continuación, se detallarán las actualizaciones más relevantes que se han realizado.

Cambios en el PDCA

Aunque en normas generales, los apartados que comprenden el PDCA (Plan-Do-Check-Act) de la norma no han sufrido muchos cambios, es necesario destacar algunos de ellos.

Comenzando por el apartado 4 de Contexto de la Organización, la única modificación se ha implementado en el punto 4.4 llamado Sistema de Gestión de Seguridad de la Información. En él se refleja la nueva necesidad de mapeo de los procesos de la empresa contra el propio PDCA y los controles.

Por otro lado, en el apartado 5 de liderazgo simplemente se ha añadido una mención explícita a la necesidad de comunicar los roles y responsabilidades dentro de la organización. Esta acción ya se realizaba con la anterior versión en la mayoría de las organizaciones, pero no estaba explícitamente detallado en el estándar.

Siguiendo con el punto 6 de la norma, el de Planificación, se pueden distinguir 2 cambios relevantes. En cuanto a los objetivos de seguridad de la información y su planificación para su consecución, se ha establecido que los objetivos deben ser monitorizados y disponibles como información documentada. Además, se ha creado un nuevo punto, el 6.3 de Planificación de cambios, que dispone que cuando la organización determine la necesidad de cambios en el SGSI, estos cambios deberán llevarse a cabo de una manera planificada.

Por último, en el apartado 8 de Operación, concretamente en el punto 8.1 (Planificación y control operacional) se indica que, además de los procesos contratados por externos, sus productos y servicios también deben ser controlados. Asimismo, deberán controlarse también los procesos propios.

Cambios en los controles

Se podría decir que el grueso de la actualización de la ISO 27001:2022 se centra en los controles de seguridad. Esto se debe a que, siguiendo la nueva versión de la ISO 27002 publicada el pasado 16 de febrero de 2022, el Anexo A de la norma que recoge dichos controles ha sido objeto de una reorganización completa.

La versión del 2013 disponía de 114 controles divididos en 14 dominios. Sin embargo, en la versión de 2022 se han reducido y ahora se compone de 93 controles dispuestos en 4 grandes grupos de controles.

A continuación, se detallan los nuevos grupos y la organización de los controles de estos:

  • Controles Organizacionales: 37 controles de los cuales 3 son nuevos.
  • Controles al Personal: 8 controles, sin cambios respecto a la versión anterior.
  • Controles Físicos: 14 controles de los cuales 1 es nuevo.
  • Controles Tecnológicos: 34 controles de los cuales 7 son nuevos.

Los controles nuevos que no existían en la anterior versión son los siguientes: :

  • 7 Inteligencia de amenazas.
  • 23 Seguridad de la información en el uso de servicios en la nube.
  • 30 Preparación de las TIC para la continuidad de negocio.
  • 4 Supervisión de la seguridad física.
  • 9 Gestión de la configuración.
  • 10 Borrado de la información.
  • 11 Enmascaramiento de datos.
  • 12 Prevención de fugas de datos.
  • 16 Seguimiento de actividades.
  • 23 Filtrado web.
  • 28 Codificación segura.

Por otro lado, cabe mencionar que un total de 57 controles de la antigua versión han sido fusionados en 24, de ahí la reducción de la cantidad de controles.

Asimismo, del resto de controles existentes en la versión del 2013, algunos de ellos han sufrido modificaciones que requerirán cambios de adaptación a las organizaciones.

Fechas de adaptación a ISO 27001:2022

La emisión de la versión en del nuevo estándar fue el pasado 25 de octubre del 2022. Sin embargo, esta publicación no requiere una inmediata adaptación a los cambios tratados, sino que ofrece un tiempo de adecuamiento a la nueva norma.

Primeramente, la disponibilidad de certificación en la nueva ISO/IEC 27001:2022 se estima para febrero/abril del 2023, pero dependerá principalmente de los Organismos de Acreditación. No obstante, la última fecha establecida para auditorías contra la versión anterior del 2013 será 18 meses después de la nueva publicación, es decir, en abril del 2024. Esta fecha incluye tanto auditorías iniciales como de recertificación.

Por último, cabe destacar que, a partir de los 3 años desde la nueva publicación, es decir, octubre del 2025, se procederá a invalidar todos los certificados de la versión del 2013.

¿Cómo podemos ayudarte?

Desde GlobalSuite Solutions te apoyaremos implementando la norma ISO 27001:2022 para su certificación oficial. Podemos empezar desde cero con un diagnóstico inicial del cumplimiento de la normativa o bien ayudándote a actualizar tu Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001:2013 introduciendo los cambios pertinentes en los catálogos de controles de seguridad, en el PDCA, etc. Además, con su gestión a través de GlobalSuite® Security podrás conseguir los siguientes beneficios:

  • Ahorrarás tiempo en la gestión de procesos de ISO 27001 y utilizando menos recursos con el uso del software, con ello obtienes mejores resultados y su consolidación.
  • Conseguirás una mayor eficiencia en la realización de los análisis de riesgos con una plataforma especifica.
  • Realizarás el ciclo de mejora continua más rápido, sin duplicidad de información y disponiendo de resultados más fiables.
  • Monitorizarás las acciones del personal a través del registro automático de modificaciones evitando pérdida de información y controlando las modificaciones de los datos.
  • Podrás sincronizar el sistema con otro software de tu compañía para aprovechar la gestión de otras áreas, por ejemplo, empleados, procesos, incidencias, etc.
  • Y evitarás el mantenimiento de aplicaciones al recaer en el proveedor: seguridad de la aplicación, backups ante pérdida de información, disponibilidad, etc.