La tecnología avanza de manera constante, y con ello, surgen riesgos asociados a amenazas y vulnerabilidades cada vez más sofisticadas. La evolución de las amenazas informáticas y la identificación de nuevas vulnerabilidades marcan el rumbo de la seguridad de la información. Además, factores externos como los modelos de negocio en constante cambio, la pandemia y los conflictos geopolíticos han tenido un impacto directo, lo que hace necesario revisar y actualizar los controles de seguridad. En este contexto, se presentó recientemente la versión actualizada de la norma ISO 27001 (ISO/IEC 27001:2022), uno de los estándares más relevantes en ciberseguridad a nivel mundial.
¿Cuáles son las novedades de la Versión 2022 de la ISO 27001?
A finales de 2022, se publicó la ISO/IEC 27001:2022, la cual trae consigo cambios significativos en la cantidad y la clasificación de los controles de seguridad, así como modificaciones menores en las cláusulas que establecen los requisitos para crear, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Para obtener detalles sobre la implementación de cada control definido en ISO/IEC 27001, se puede consultar la versión más reciente de ISO/IEC 27002, conocida en ediciones anteriores como «código de buenas prácticas». Esta guía de implementación también se actualizó en 2022, cambiando su título a «Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información» y su estructura para utilizar una taxonomía más sencilla. Además, se fusionaron algunos controles, se eliminaron otros y se introdujeron nuevos.
Es importante recordar que mientras que la ISO 27001 establece los objetivos que una organización debe cumplir para obtener la certificación, la ISO 27002 establece los controles necesarios para alcanzar esos objetivos.
Basándonos en los cambios de ISO/IEC 27002:2022, analizaremos los cambios en el Anexo A de ISO/IEC 27001:2022.
Destaca que estas nuevas versiones de los documentos consideran dos aspectos nuevos: temas y atributos. Los temas se refieren a la forma de categorizar los controles de seguridad, similar a los dominios utilizados en versiones anteriores. Así, encontramos cuatro temas o categorías: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos permiten una clasificación desde diferentes perspectivas, lo que facilita su uso para distintas audiencias.
Existen cinco tipos de atributos: basados en el tipo de control (preventivo, detectivo y correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (desde la perspectiva de los profesionales o practicantes, como la gobernanza o la seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).
Además, el nuevo estándar reduce el número de controles de seguridad a 93. De estos, se pueden identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Es importante destacar que los objetivos de control, que describen los resultados deseados de la implementación de controles, ya no se consideran en la nueva edición.
Consideraciones en la Selección e Implementación de Controles
Los controles se definen como medidas destinadas a mantener o modificar los riesgos asociados con la información y otros activos. Sin embargo, es posible que los controles no siempre logren el efecto deseado, por lo que es crucial revisarlos y actualizarlos continuamente de acuerdo con los criterios de riesgo (aversión o propensión).
Las organizaciones no están obligadas a implementar todos los controles definidos en el estándar, pero deben documentar y justificar cualquier omisión en la Declaración de Aplicabilidad (SoA). Por lo general, la selección de los controles se basa principalmente en los resultados de la evaluación de riesgos.
Finalmente, es esencial recordar que las organizaciones pueden elegir e implementar controles o contramedidas para proteger sus activos basados en otras fuentes de información y otros marcos de trabajo de ciberseguridad o seguridad de la información. Las mejores prácticas recomendadas en el estándar deben adoptarse, adaptarse y aplicarse en función de las características, necesidades y condiciones específicas de cada organización.
Como consultores especializados en la implementación de la Norma ISO 27001:2022, estamos aquí para ayudarte a obtener la certificación ISO 9001 para el sistema de gestión de tu empresa u organización. No dudes en ponerte en contacto con nosotros para más información.
La entrada ISO 27001:2022: Las Transformaciones del Nuevo Estándar de Seguridad se publicó primero en QMS Spain.
