NORMA ISO 27001:2022 — Una nueva versión en ciberseguridad

ISO 27001 es el estándar internacional de seguridad de la información que ayuda a las organizaciones, sin importar su categoría o tamaño, a administrar la seguridad. Proporciona un marco de administración para implementar un SGSI (sistema de administración de seguridad de la información) y con ello garantizar la confidencialidad, integridad y disponibilidad de todos los datos manejados por las empresas, ya que asiste en la implementación de controles que aseguren que la información sea supervisada y protegida. (ISO, sin fecha)

Esta norma se ha actualizado desde su primera versión publicada en 2005, sin embargo, la idea de contar con una norma que evaluara ciertos criterios en materia de ciberseguridad ya había sido considerada previamente en 1995, en Reino Unido con la Norma Británica 7799, redactada por el Departamento de Comercio e Industria, DTI, y a partir de ahí, se empezaron a desarrollar normas específicas en un ISMS, que posteriormente se convirtió en ISO 27001. (Directorio ISO 27000, n.d.)

Después de la versión publicada en 2005, la versión utilizada ha sido la de 2013, la cual se ha actualizado, teniendo cambios mínimos en 2014, 2015 y 2017. Y ahora es la que ha tenido cambios significativos los cuales se detallarán a continuación.

La versión ISO 27001:2022 fue lanzada el 25 de octubre de 2022, reemplazando a la versión 2013. Los cambios en esta versión impactarán principalmente en el Anexo A y ciertas cláusulas en el SGSI.

CAMBIOS SIGNIFICATIVOS EN ISO 27001 2022

CAMBIOS EN LA PARTE PRINCIPAL DE LA NORMA

Se ajustaron las siguientes cláusulas para especificar ciertas adiciones al sistema de gestión (Kosutic, 2022):

• 4.2 c) Comprensión de las necesidades y expectativas de las partes interesadas: deben indicarse y determinarse los requisitos de los interesados que se abordarán en el SGSI. El SGSI ahora especifica los procesos e interacciones necesarios.
• 4.4 Sistema de Gestión de Seguridad de la Información y agregó la planificación de procesos y sus interacciones como parte del sistema.
• 5.3 Funciones, responsabilidades y autoridades de la organización — se especifica que la comunicación de las funciones se realiza de manera interna.
• 6.2 — Objetivos de seguridad de la información y planeación para alcanzarlos — se agrega el inciso d) que indica que los objetivos son monitoreados.
• 6.3 Planificación de cambios — Se agregó una sección que especifica que cualquier cambio en el sistema debe ser planificado, lo que también debe ser demostrable.
• 7.4 Comunicación: se eliminó la subsección e), que requeriría procesos para la comunicación.
• 8.1 Planeación y control operativo — Se incluyó que se establecieron criterios para los procesos de seguridad y para la implementación de controles basados en estos criterios. También se ha eliminado el requisito de implementación de planes para el logro de objetivos.
• 9.3 Revisión de la administración: se agregó el elemento 9.3.2 (c), que menciona que las aportaciones de las partes interesadas deben incluir cambios en las necesidades y expectativas de las partes interesadas.
• 10 Mejora — las cláusulas sólo han cambiado de lugar, ahora Mejora Continua (10.1) es la primera, y la segunda es No conformidad y Acción Correctiva (10.2).

CAMBIOS EN EL ANEXO A

Como se mencionó anteriormente, los cambios en el Anexo A incluyen

Nuevas secciones: En la versión anterior de la norma había 14 secciones, ahora solo se incluyen 4: (IT Governance Ltd, 2022)

• A.5 Controles de organización (37 controles)
• A.6 Controles de personas (8 controles)
• A.7 Controles físicos (14 controles)
• A.8 Controles tecnológicos (34 controles)

Nuevos controles: 11 nuevos controles añadidos (Kosutic, 2022):

• A.5.7 Inteligencia sobre amenazas
• A.5.23 Seguridad de la información para el uso de servicios en la nube
• A.5.30 Preparación de las TIC para la continuidad del negocio
• A.7.4 Monitoreo de la seguridad física
• A.8.9 Administración de la configuración
• A.8.10 Eliminación de información
• A.8.11 Enmascaramiento de datos
• A.8.12 Prevención de fugas de datos
• A.8.16 Actividades de seguimiento
• A.8.23 Filtrado web
• A.8.28 Codificación segura

Controles fusionados y separados; 57 controles se han fusionado en 24, más 1 control dividido:

• Technical Compliance Review (18.2.3) se dividió en:

-Cumplimiento de políticas, regulaciones y estándares de seguridad de la información (5.3.6);

-Administración de vulnerabilidades técnicas (8.8)

Controles renombrados: 23 controles fueron renombrados para una mejor comprensión.

Controles que no cambiaron; 35 controles permanecen sin cambios en su estructura.

USO DE ATRIBUTOS

Se ha introducido el concepto de atributos, el cual será útil para filtrar y agrupar controles, lo que a su vez ayudará a las organizaciones a entender su postura de seguridad y adoptar las mejores prácticas (IT Governance Ltd, 2022):

• Tipo de control (preventivo, detectivesco, correctivo)
• Propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad)
• Conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar)
• Capacidades operacionales (gobierno, administración de activos, etc.)
• Dominios de seguridad (gobernanza y ecosistema, protección, defensa, resiliencia)

¿CUÁL ES EL PROCESO DE CERTIFICACIÓN AHORA?

Para las organizaciones que buscan obtener la certificación ISO 27001:2013, tienen hasta abril de 2024 para completar esta certificación. En tanto que quienes ya cuentan con la certificación ISO 27001:2022, tendrán hasta octubre de 2025 para completarla; sin embargo, el 1 de noviembre de 2025, todas las certificaciones en ISO 27001:2013 se considerarán caducadas, independientemente de la fecha de vencimiento que se imprima.

Esto significa que las organizaciones que aún planean certificarse en la versión 2013 tendrán que tomar en cuenta la brecha entre abril de 2024 y octubre de 2025, que es cuando necesitarán cambiar a la versión 2022. (McGladrey, 2022)

Para aquellas organizaciones que ya están certificadas en la versión 2013, la transición es solo un cambio moderado que puede identificarse mediante una evaluación para identificar las diferencias, en su mayoría en el Anexo A con los nuevos controles, y comenzar a trabajar en ellos. Una vez determinado esto, se recomendaría iniciar una auditoría interna, y posteriormente la certificación a la nueva versión de la norma.

La implementación de esta norma ayudará a crear una mejor conciencia de la seguridad de la información con la comprensión de la misma, al tiempo que brindará un mayor control sobre el Sistema de Administración de Seguridad de la Información (SGSI) y todo lo que implica (políticas, registro de activos, procedimientos, administración de riesgos, cumplimiento de normas, etc.).

REFERENCIAS

• ISO 27000 Directorio. (n.d.). El Directorio ISO 27000. Recuperado de A Short History of the ISO 27000 Standards: https://www.27000.org/thepast.htm
• .ISO. (n.d.). ISO - Organización Internacional de Normalización. Recuperado de ISO/IEC 27001 y estándares relacionados. Administración de la seguridad de la información: https://www.iso.org/isoiec-27001-information-security.html
• IT Governance Ltd. (2022, octubre). Gobernanza de TI. Recuperado de las actualizaciones ISO 27001 e ISO 27002:2022: https://www.itgovernance.co.uk/iso27001-and-iso27002-2022-updates
• Kosutic, D. (25 de octubre de 2022). 27001 Academia. Recuperado de la revisión ISO 27001 2013 vs. 2022 — ¿Qué ha cambiado? : https://advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002/
• McGladrey, K. (22 de diciembre de 2022). Hiperresistente. Recuperado de Cómo actualizar su programa de seguridad de ISO 27001:2013 a ISO 27001:2022: https://hyperproof.io/resource/upgrade-iso-270012013-iso-270012022/