Nueva ISO 27001 versión 2022

3 de noviembre de 2022 Noticias

A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.

Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.

Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.

Las principales novedades se basan en: Adaptarse a los cambios en las formas de trabajar y vivir, la industria de la ciberseguridad ha madurado, flexibilizar la alineación con los conceptos de seguridad, mejorar la armonización con los otros estándares ISO, simplificar la norma y asegurar que el sistema está basado en procesos claros.

Nueva estructura de clausulas

Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.


Anexo A 
Clausula 5- Controles de la organización: 37 controles, 34 antiguos y 3 nuevos
Clausula 6- Controles de personas: 8 controles todos ya existentes
Clausula 7- Controles de seguridad física: 14 controles, 13 antiguos y 1 nuevo
Clausula 8- Controles tecnológicos: 34 controles, 27 antiguos y 7 nuevos 

Como podemos ver, hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.

Nuevos controles

La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años. La lista de controles es:

A 5.7 Amenazas de inteligencia
A 5.23 Seguridad de la información por uso de servicios en la nube
A 5.30 Tecnologías de la información y comunicaciones para la continuidad del negocio
A 7.4 Monitorización de la seguridad física
A 8.9 Gestión de la configuración
A 8.10 Borrado de información
A 8.11 Enmascarado de datos
A 8.12 Prevención de fuga de datos
A 8.18 Monitorización de actividades
A 8.23 Filtro de la web
A 8.28 Codificación segura 

Cambios vinculados a puntos de norma

A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma. Los principales son:

4.4. Hay un requisito explícito para definir los procesos y sus interacciones.
5.3. Se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
6.2. Hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
6.3. Punto nuevo que se alinea con el resto de ISO. Nos indica la necesidad de planificar los cambios del sistema de gestión y que estos se realicen de manera controlada.
8.1. Especifica el establecer criterios para los procesos y aplicar el control.
9.3 En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Calendario de implantación de la versión 2022

¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:

Primeras evaluaciones a partir de noviembre de 2022
Primeras certificaciones (pendiente de cada certificadora) entre febrero y abril de 2023
Plazo para certificarse con la versión 2013- abril de 2024
Fin de vigencia de los certificados de la versión 2013- octubre de 2025

Actuaciones 

Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación. 

Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.

Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.

Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.

Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI. 

Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso. 

Juanjo Alemany
Consultor, formador y auditor de seguridad y gestión
TOTALRISK

Llegir l'article en català

© 2017 30Virtual. TODOS LOS DERECHOS RESERVADOS. Aviso legal.