ISO27001:2022 publicada. ¿Qué ha cambiado?

Para hacer frente a los retos de la ciberseguridad mundial y mejorar la confianza digital, se acaba de publicar una versión nueva y mejorada de la norma ISO/IEC 27001, pero ¿qué es eso?

¿Qué es la ISO27001?

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe las mejores prácticas en cómo gestionar la seguridad de la información. Es una norma certificable que puede ser implementada en cualquier tipo de organización. Como estándar de seguridad de la información la norma es redactada por especialistas de todo el mundo lo que es una garantía de que su propuesta de SGSI permite la mejora continua en la protección de los activos de información. Trata de buscar la seguridad de la información en base a vigilar los pilares de la misma que son la confidencialidad, la integridad, la disponibilidad. Lo hace estudiando los riesgos que las amenazan y proponiendo controles para evitarlos o mitigar su efecto actuando contra la probabilidad de que ocurran o la limitación de sus consecuencias.

Con el tiempo ISO27001 se ha convertido en una norma mundialmente reconocida y valorada por todo tipo de organizaciones en relación a los sistemas de gestión de seguridad de la información. Se ha demostrado que aquellos que se preocupan por la ciberseguridad emergen rápidamente como líderes en su industria. El enfoque holístico de la norma ISO 27001 implica que se da cobertura a toda la organización, no sólo las TI; se tendrá en cuenta a las personas, la tecnología y los procesos.

Cuando se hace uso de la norma ISO 27001, se demuestra a las partes interesadas y a los clientes que se compromete a gestionar la información de forma segura y protegida. Es una forma estupenda de promocionar su organización demostrando que se puede confiar en la misma.

¿Por qué tanto revuelo ahora?

La norma en vigor hasta la publicación de esta actualización estaba vigente con pocos cambios desde 2005. Posteriormente fue revisada en 2013, pero no modificó gran cosa. También hemos tenido actualizaciones en relación a la traducción al castellano obteniendo así la última UNE-EN ISO27001:2017. Ahora se ha producido una nueva actualización, pero aquí si que se puede considerar que hay cambios reales. Los controles han sido modificados pasando de 114 controles a tan solo 93 y también se pueden encontrar cambios en el cuerpo de la norma.

Hace poco se publicó la ISO27002 y no pasó nada

Tras la publicación de la norma ISO/IEC 27002:2022 (guía de buenas prácticas en seguridad de la información -no certificable-) muchos se preocuparon por la necesidad de adecuar sus sistemas de gestión de seguridad de la información a una nueva norma. Esta ISO27002, que no es de obligatorio cumplimiento para los certificados en ISO27001, no implicaba, por tanto, una necesidad de adecuar los controles que propone. En realidad quedaba, y queda, a criterio de las organizaciones certificadas el grupo de controles a aplicar, pudiendo elegir entre los de la ISO27002:2013 o la ISO27002:2022, o incluso usar otros controles como NIST, CIS, COBIT, etc. De hecho combinarlos puede ser una buena solución, igual no para una implantación inicial, pero sí cuando se va mejorando a lo largo de los años.

¿y porqué tiene relevancia ahora?

El nerviosismo que inició el cambio en la ISO27002 ha hecho que la publicación este octubre de la nueva ISO27001 haya adquirido una importancia mayor. En realidad no habría ni que llamarla nueva ISO27001 porque es una actualización de la misma. De hecho el cuerpo de la norma apenas ha cambiado en lo sustancial y los cambios principales que aparecen en la lista de controles ya eran conocidos tras la publicación de la ISO27002. Aún así la norma ISO27001 es un referente en el mundo normativo y al tomar tanta relevancia la seguridad de la información, la norma ha crecido en interés hasta el punto que cualquier cambio genera un gran revuelo.

¿Qué ha cambiado en la ISO27001?

La norma se divide en un parte que describe el sistema de gestión de seguridad de la información a implantar y el Anexo que define los controles de seguridad mínimos de los que se debe disponer adicionalmente a todos aquellos que vengan determinados por el análisis de riesgos y su plan de tratamiento. Pues bien, en el cuerpo de la norma apenas se han producido cambios relevantes. Algunos son tan simples como el cambio de nombre que ha pasado a llamarse ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements (en negrita los cambios), o que en todo el texto donde antes se identificaba «este estándar internacional» ha pasado a identificarse como «este documento». Aún así vamos a comentar algunos cambios:

Alcance: La exclusión de cualquiera de los requisitos especificados en las cláusulas 4 a 10 no es aceptable cuando una organización declare la conformidad con el estándar.

Nuevos requisitos relevantes:

  • Habrá que determinar qué requisitos de las partes interesadas se abordan a través del SGSI
  • Hay que explicitar las interacciones entre procesos.
  • Los objetivos tendrán que se monitorizados y estar documentados.
  • la planificación del cambios en el SGSI se hará de forma planificada.
  • La comunicación se simplifica. Se explicará cómo se comunica.
  • En la planificación y control se establecerán los criterios necesarios para los procesos y cómo se implementará el control de dichos procesos de acuerdo a los criterios.
  • La organización debe garantizar que los procesos , productos o servicios que provean terceros y sean relevantes para el SGSI son controlados.
  • La organización debe evaluar el rendimiento de la seguridad de la información y la eficacia del SGSI.
  • En las revisiones por dirección se evaluarán los cambios en las necesidades y expectativas de partes interesadas que son relevantes para el SGSI.

Respecto a los controles del ANEXO A:

  • Han pasado de 114 a 93, de los cuales 11 son nuevos.
  • En ISO27002 (No en ISO27001) se determinan 5 atributos para los controles. Puedes implantarlos o no, pero la lógica es que los gestiones.
    • Tipo de control (Preventivo, Detectivo, Correctivo)
    • Propiedades de la seguridad de la información (Confidencialidad, Integridad, Dispopnibilidad, …)
    • Conceptos de ciberseguridad (Identificar, Proteger, Detectar, Responder y Recuperar)
    • Capacidades operativas
    • Dominios de seguridad
  • Los nuevos controles son:
    • Seguridad de la información en dl uso de servicios cloud
    • Preparación de las TICs para la continuidad de negocio
    • Monitorización de la seguridad física
    • Gestión de la configuración
    • Borrado de información
    • Enmascaramiento de datos (Data masking)
    • Prevención de figas de información (DLP)
    • Monitorización de actividades
    • Filtrado web
    • Programación/Codificación segura

Algunas respuestas

Trataremos de responder algunas preguntas:

Estoy en proceso de implantación ¿En qué norma me voy a certificar?

Esto depende del tiempo que tardes en solicitar tu certificación. A corto plazo es posible que sigas certificándote con la norma de 2013. Pregunta a tu certificadora sobre qué plazos manejan de transición. Es un punto importante porque debes decidir contra qué controles hacer tu declaración de aplicabilidad. Ante la duda haz uso de los nuevos controles. Estarás dando cobertura a casi todos los anteriores y además estarás preparado para el futuro.

Si quiero certificarme ahora ¿Debería esperarme?

No, aunque se haya publicado la nueva versión de 2022 no debería esperar a certificarse. Esperar a poder certificarse según las nuevas normas probablemente dejará a su organización en una situación de mayor riesgo.

Las certificadoras también tienen que acreditarse en la nueva norma y todo ello lleva un tiempo, así que tampoco correrán a ofrecerte certificaciones en el nuevo esquema.

Estoy certificado y me toca recertificar ¿Me van a obligar a usar nos nuevos controles?

No, de momento no vas a estar obligado al uso de los nuevos controles. Tu declaración de aplicabilidad seguirá estando relacionada con el Anexo A de la ISO27001:2013.

Si estás en una auditoría de seguimiento te mantendrás en la norma anterior hasta la nueva recertificación.

Si estás en una auditoría de recertificación de momento tampoco vas a tener que implantar los nuevos controles. Consulta con tu certificadora el tiempo de transición que te plantean especialmente si estás leyendo este post cuando haya pasado algo de tiempo desde su publicación.

¿Si estoy certificado tengo que adecuarme ya?

La nueva norma conlleva muchas preocupaciones para aquellos relacionados con la misma. ¿Si ya estoy adecuado a la norma tengo que adecuarme a la nueva?

¿Sigues teniendo dudas?

Contacta con Legitec hoy y recibirás las respuestas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.