Regresar

ISO 27001:2022. Nuevos controles

ISO 27001. Certificar la seguridad de la Información

La norma ISO 27001 es un estándar internacional emitido por la Organización ISO que define los requisitos en relación en cómo gestionar la seguridad de la información. Esta norma es certificable y puede ser implementada por todo tipo de organizaciones, desde multinacionales, pasando por empresas de mediano tamaño, PYMES e incluso por micro PYMES, y empresas unipersonales. Su principal objetivo se centra en determinar las mejores prácticas en materia de seguridad de la información.

Esta basada en la creación de un Sistema de Gestión de Seguridad de la Información (SGSI), a partir del cual se articula toda la norma. En caso de que la organización disponga de otros sistemas de gestión, como, por ejemplo: calidad (ISO 9001), gestión medio ambiental (ISO 14001), o continuidad de negocio (ISO 22301), las organizaciones de cara a optimizar la gestión de las distintas normativas tienden a integrar todos los sistemas de gestión entre sí, creando lo que se denomina SGI (Sistema de Gestión Integrado).

Esta norma al igual que otras ha sufrido diversos cambios a lo largo del tiempo. La primera versión como ISO 27001 data del 2005. Anteriormente tenía la nomenclatura de BS (British Standard). La primera versión cómo BS 7799-1, se publicó 1995. Posteriormente tuvo una segunda parte en 1998 (BS 7799-2). Ambas partes se revisaron primero en el año 1999 y luego en el año 2000, creando la ISO 17799.

El siguiente cambio de versión se produce en el año 2007, con la ISO 27001:2007. Con posterioridad la norma se vuelve a revisar en el año 2013, con el principal objetivo de alinear este marco con las cláusulas de otros sistemas de gestión, de forma que como hemos comentado anteriormente se posibilitase la integración con varios sistemas de gestión.

Finalmente, en Octubre del 2022, ha visto la luz la ISO 27001:2022, de la que a continuación vamos a reseñar los principales cambios con respecto a la versión del 2013.

 Cambios en las cláusulas. ISO 27001:2022

Reseñar que los cambios que se han producido en el cuerpo de cláusulas de la ISO 27001, son muy poco relevantes, únicamente reseñar los siguientes:

  • Hay que determinar qué requisitos de las partes interesadas se abordan a través del Sistema de Gestión de Seguridad de la Información.
  • Hay que determinar las interacciones entre los procesos.
  • Los objetivos en el SGSI tendrán que ser monitorizados y documentarse.
  • Hay que planificar de forma más detallada los cambios en el SGSI.
  • La comunicación con las partes interesadas se simplifica.
  • En el control operacional se definirán los criterios necesarios para los procesos y cómo se implementará el control de éstos.
  • Mayor exigencia de control en relación con los proveedores en relación con los productos y servicios que sean provistos por terceros.
  • En la revisión por dirección hay que evaluar de forma más detallada que anteriormente, los cambios en las necesidades y expectativas de partes interesadas que sean relevantes para el SGSI.

Cambios en el Anexo A. ISO 27001:2022

La parte correspondiente a los controles del Anexo A, es la que sí que tiene unos cambios mucho más relevantes que los correspondientes a las cláusulas. De entrada, se pasa de 114 controles agrupados en 14 cláusulas a 93, agrupados en 4 cláusulas, integrando unos controles en otros.

Por otro lado, se plantean 11 nuevos controles, que vamos a comentar seguidamente:

Inteligencia de amenazas (5.7). Deberemos ser capaces de recoger y analizar información sobre amenazas.

Seguridad de la información en el uso de servicios en la nube (5.23). Este nuevo control, requiere que se desarrollen procedimientos específicos para los servicios que tenga la entidad en la nube, y de esta forma se diferencia de los controles A.15 de la versión 2013 sobre servicios prestados por terceros, para diferenciarlos explícitamente de los servicios en la nube.

Continuidad de las TIC (5.30). En la versión del 2022 queda claramente enfocado este control a la continuidad de las TIC, dejando la continuidad del negocio para otros estándares como la ISO 22301. Así, este control se enfoca en la continuidad TIC, diferenciándola de la continuidad del negocio.

Monitorización de la seguridad física (7.4). Será necesario implementar mecanismos de control de acceso que detecte si se producen accesos físicos no autorizados.

Gestión de la configuración (8.9). Orientado esta control a su integración o gestión mediante la norma ISO 20000 o ITIL, ambos marcos específicos de gestión de servicios IT.

Borrado de la información (8.10). Ligado al principio de la limitación del plazo de conservación de la información. Relacionado con los requerimientos del RGPD en este punto.

Enmascaramiento de datos (8.11). Mediante técnicas de anonimización y pseudoanonimización para proteger la información en caso de fugas de información y brechas de seguridad que afecten principalmente a datos personales.

Prevención de fuga de datos (8.12). Con la utilización de herramientas que detecten este tipo de fugas.

Monitorización de actividades (8.16). Mediante sistemas SIEM.

Filtrado web (8.23). Con este control, se pretende restringir la navegación de los usuarios, con el objetivo de reducir el riesgo de acceso a contenidos maliciosos que puedan provocar incidentes de seguridad.

Control de codificación segura (8.28). Este control va más allá de las exigencias del control “política de desarrollo seguro” de la versión del 2013, requiriendo además de una política, que se implementen metodologías de desarrollo seguro.

ISO 27002:2022

La principal diferencia entre la ISO 27001 y la ISO 27002 es que la primera es la certificable, mientras que la segunda es un marco de buenas prácticas (recomendaciones) de implementación de cada uno de los controles del Anexo A de la ISO 27001.

En febrero del 2022 ha aparecido la nueva versión de la ISO 27002. La principal novedad de la norma es la aparición de un nuevo criterio de clasificación que es el de los atributos, y en segundo lugar aparecen nuevos controles en esta versión del 2022, que son los que hemos comentado con antelación al indicar los cambios del Anexo A de la ISO 27001.

Atributos

Al estructurar los controles mediante atributos se obtiene una mayor flexibilidad en la ISO 27001, lo que ofrece a la organización muchas más posibilidades, al definir el estándar un conjunto de atributos predefinidos de forma genérica, y dando a las organizaciones total libertad para poder crear sus propios atributos, en función de las preferencias de cada entidad. A continuación, vamos a definir cada uno de los atributos:

1.- Tipo de Control. Puede tener tres valores posibles: preventivo, detectivo y correctivo. Analizando todos los controles vemos que la mayor parte de ellos (75%) son de carácter preventivo.

2.- Propiedades de la Seguridad de la Información. En este caso también son tres los valores posibles: confidencialidad, integridad y disponibilidad. En cada uno de los controles se especifica cual o cuales de las propiedades anteriores ayuda el control a proteger. El 85% de los controles protegen las tres dimensiones.

3.-Conceptos de ciberseguridad. Este atributo organiza los controles según la estructura de cinco fases que se utilizan en la mayor parte de los estándares de ciberseguridad. Estas fases son: identificar, proteger, detectar, responder y recuperar. Este atributo es muy útil, ya que posibilita poder crear una relación entre los diversos marcos normativos de seguridad de la información y ciberseguridad que utilicen este tipo de organización en cinco fases.

4.- Capacidades operativas. Este atributo permite estructurar cada uno de los controles desde el punto de vista de determinados dominios de seguridad como, por ejemplo: gobierno, gestión de activos, protección de la información, seguridad de los recursos humanos, seguridad física, seguridad de sistemas y redes, continuidad de negocio….

5.- Dominios de seguridad. Este último dominio de seguridad categoriza el control desde el punto de vista de los siguientes dominios: gobierno y ecosistema, protección, defensa y resiliencia.

Cambios en el proceso de certificación

En agosto del 2022 en el Foro Internacional de Acreditación (IAF, por sus siglas en inglés), se publicó el documento Requisitos de transición para ISO/IEC 27001:2022 con el propósito determinar los requisitos adecuados para que las entidades de certificación actúen de forma coordinada. Los aspectos más reseñables serían los siguientes:

  • Periodo transitorio de 3 años, hasta el 25 de Octubre del 2025.
  • Todas las entidades de certificación deberán pasar por un proceso de acreditación bajo la nueva versión del estándar, por lo que hasta que éstas no estén preparadas, no se podrán certificar las organizaciones bajo ISO 27001:2022. Se considera que las entidades de certificación estarán preparadas para certificar con la versión del 2022, a partir del primer trimestre de 2023.
  • Las empresas podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de octubre de 2023. Los certificados
  • Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025 (tres años después de la publicación de la nueva versión).

Etiqueta:

Avatar del usuario
Mobiliza Academy

También te puede interesar

iso-27000-mobiliza-academy
¿Qué es ISO 27000?
28 octubre, 2021
× ¿Cómo puedo ayudarte?