Español-iconEspañolarrow-down
SoftExpert Blog
Temas
Conocimiento
Novedades Suite
Institucional
SoftExpert
search-icon
SoftExpert Blog
search-icon
¿Conoces las novedades de la ISO/IEC 27001:2022?
ShareCompartir

¿Conoces las novedades de la ISO/IEC 27001:2022?

Publicado en 20 de Marzo de 2023

La seguridad de la información es una responsabilidad de gobernanza corporativa. No puede considerarse una iniciativa aislada del equipo de Tecnología de la Información, sino como un tópico de estrategia de negocio. Desde esta perspectiva, las organizaciones se han esforzado por proteger la información controlada, crítica o confidencial de accesos indebidos que podrían causar daños irreversibles al negocio.

La familia de normas ISO 27000 ayuda a las organizaciones a mantener en seguridad a los activos de información. La adopción de esta familia de normas ayuda a las organizaciones a gestionar la seguridad de activos, tales como la información financiera, la propiedad intelectual, los detalles de los funcionarios o la información confiada por terceros. La ISO/IEC 27001 es la norma más conocida de esta familia y contempla los requisitos para el sistema de gestión de la seguridad de la información (SGSI).

La revisión

Tras nueve años, el 25 de octubre de 2022 se actualizó la ISO 27001 y se publicó la nueva ISO/IEC 27001:2022, lo que generó cierta expectativa en el mercado.

Esta nueva versión viene a ayudar a las organizaciones a gestionar los controles de forma más eficaz, agrupándolos en cuatro “temas” claros: organizativo, personal, tecnológico y físico. Este cambio fundamental tiene el objetivo de proporcionar una mayor claridad, foco y responsabilidad en materia de seguridad de la información dentro de una organización.

Si bien esta revisión sólo aporta cambios moderados, es importante estudiarlos detenidamente. Así que en este artículo te comentaremos sobre todos los cambios y compararemos esta revisión de 2022 con la antigua, de 2013.

La ISO 27001 no es la ISO 27002

Antes de empezar con las novedades en sí, vayamos a un tema importante que todavía causa muchas dudas: no confundas la norma ISO 27001 con la ISO 27002.

Para aclarar, la ISO 27001 es la norma con la que puede certificar a tu empresa, mientras que la 27002 es la norma de apoyo que proporciona lineamientos sobre la implementación de controles de seguridad. La diferencia más importante es que la ISO 27002 no es obligatoria para la certificación ISO 27001 y tu empresa no puede ser certificada por la ISO 27002.

Nueva revisión, título nuevo

Un cambio interesante, que refleja la evolución de la tecnología y la cobertura de los temas asociados a la seguridad, es el relativo al nuevo título de la norma.

A diferencia de la ISO/IEC 27001:2013, el título completo de la nueva versión es ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. En español, podemos ver la sutil pero importante diferencia:

Tal y como estaba (ISO/IEC 27001:2013): “Tecnología de la información – técnicas de seguridad – sistemas de gestión de la seguridad de la información”.

Como quedó ahora (ISO/IEC 27001:2022): “Seguridad de la información, ciberseguridad y protección a la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos”.

Este cambio no generará impactos para tu empresa, sólo recuerda actualizar tus documentos donde se cite la norma tanto en el nombre como en la nueva versión.

El Anexo A con una nueva cara

A primera vista, el Anexo A ha cambiado mucho: el número de controles se ha reducido de 114 a 93 y está organizado en apenas cuatro secciones, frente a las 14 de la revisión de 2013. Sin embargo, tras una mirada más detallada, resulta obvio que las alteraciones en el Anexo A son apenas moderadas y están alineadas con las actualizaciones de la ISO/IEC 27002:2022, publicadas al inicio de 2022.

El Anexo A de la ISO/IEC 27001:2022 ha tenido alteraciones tanto en el número de controles como en su listado en grupos. Para empezar, el título del anexo ha tenido una pequeña alteración, que ha pasado de Objetivos y controles de referencia a Referencia de controles de la seguridad de la información.

Volviendo a la disminución del número de controles, se debe principalmente a la fusión de muchos de ellos. Vayamos a los números: 35 controles permanecieron igual, 23 cambiaron de nombre, 57 controles se fusionaron en 24 y un control se dividió en dos. Como hemos comentado anteriormente, este rediseño se ha llevado a cabo para reflejar la actualización tecnológica y un enfoque más exhaustivo de los dominios de seguridad. Observa cómo se han reestructurado los 93 controles en cuatro grandes grupos:

  1. A.5 Controles organizativos – contienen 37 controles
  2. A.6 Controles de personas – contienen 8 controles
  3. A.7 Controles físicos – contienen 14 controles
  4. A.8 Controles tecnológicos – contienen 34 controles

La nueva versión también ha traído 11 nuevos controles que se mencionan a continuación:

  1. Inteligencia sobre amenazas – obtener información sobre amenazas, analizarlas y tomar las medidas de mitigación adecuadas.
  2. Seguridad de la información para el uso de servicios en nube – establecer requisitos de seguridad en los servicios cloud.
  3. Preparación de TIC para la continuidad de los negocios – asegurar que las TIC estén preparadas para las interrupciones y que la información y los activos estén listos cuando se necesiten.
  4. Monitoreo de seguridad física – monitoreo físico de áreas sensibles para control de accesos.
  5. Gestión de configuraciones – gestión del ciclo completo de la tecnología (definición de la configuración, implementación, supervisión y revisión).
  6. Exclusión de información – asegurar la eliminación de la información cuando ya no sea necesaria, como forma de evitar fugas de información, en particular de información sensible y privada.
  7. Enmascaramiento de datos – utilizar técnicas de “data masking” junto con controles y accesos para limitar la exposición de información sensible.
  8. Prevención de fuga de datos – aplicar medidas para evitar la divulgación no autorizada de información.
  9. Actividades de monitoreo – monitoreo de los sistemas para eliminar comportamientos anómalos y posibles incidentes relacionados con la seguridad de la información.
  10. Filtrado web – protección de los sistemas de TI a través de la gestión de las páginas web que los utilizadores tienen acceso.
  11. Codificación segura – establecer principios de código seguro, aplicables a partir del desarrollo del software.

¿La revisión afectará a tu actual certificado ISO/IEC 27001?

¡Buenas noticias! Las nuevas alteraciones en la ISO/IEC 27001:2022 no afectarán a tu actual certificado ISO/IEC 27001. Pero es importante estar atento al periodo de transición.

De acuerdo con el documento “Requisitos de transición a la norma ISO/IEC 27001:2022” del International Accreditation Forum, para las empresas ya certificadas con la norma ISO 27001:2013, la transición a la ISO 27001:2022 debe de concluirse antes del 31 de octubre de 2025.

Los organismos de certificación deberán empezar a certificar a las empresas según la nueva versión a partir del 31 de octubre de 2023, pero la mayoría de ellos seguramente empezarán mucho antes. Así pues, si no estás certificado, deberás prestar atención a las alteraciones para incorporarlas antes de iniciar la auditoría.

Resumen final: cuánto serás impactado

Como los cambios en los controles, y en la norma en su conjunto, son muy pequeños, la transición hacia la nueva actualización de la norma será tranquila. Puede que sea necesario adaptar y actualizar uno u otro requisito, pero nada demasiado profundo. Si la empresa ya está certificada, sólo es necesario llevar a cabo actualizaciones para mantener la conformidad con relación a los nuevos controles.

Para resumir, las alteraciones en la parte fundamental del modelo patrón son pequeñas y pueden hacerse rápidamente, con apenas pequeñas alteraciones en la documentación y en los procesos. Las alteraciones en los controles del Anexo A son moderadas y pueden abordarse principalmente añadiendo los nuevos controles a la documentación existente.

Por supuesto, la expectación ante la revisión era grande, y muchos profesionales del área esperaban cambios más abrumadores. Pero estoy seguro de que las empresas que ya están certificadas por la revisión de 2013 se sentirán aliviadas porque el trabajo que hay que hacer no es tan grande.

Tecnología para ayudar en la seguridad de la información de tu empresa

SoftExpert ofrece la solución de software más completa y avanzada para la gestión de la seguridad de la información que atiende a las necesidades de las más rigurosas normativas globales. SoftExpert Excellence Suite ayuda a las empresas a adherir a la ISO/IEC 27001, reduciendo los costos de conformidad, maximizando el éxito, aumentando la productividad y reduciendo los riesgos.

La solución SoftExpert permite que las organizaciones atiendan fácilmente a los requisitos de la ISO 27001, garantizando los tres pilares de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad (CID). Ayuda en la gestión de riesgos, controles, políticas de seguridad de la información, activos, incidentes, proveedores, indicadores de rendimiento, procesos, entre otros. Esto impulsa la eficacia de la organización y reduce el retrabajo y el desperdicio. ¿Quieres obtener más información? Comunícate con uno de nuestros especialistas, que estará siempre a disposición para presentarte nuestra solución.

Conversar con especialista

Sobre el autor
Camilla Christino

Camilla Christino

Camilla Christino es Analista de Negocios en SoftExpert, graduada en Ingeniería de Alimentos en el Instituto Mauá de Tecnologia. Tiene una sólida experiencia en el área de la calidad en las industrias alimentarias con un enfoque en el seguimiento y adecuación de los procesos de auditoría interna y externa, documentación del sistema de gestión de la calidad (ISO 9001, FSSC 22000, ISO / IEC 17025), Control de Calidad, Asuntos reglamentarios, buenas prácticas de fabricación (BPF)/normas de correcta fabricación (NCF), HACCP y FCC. También está certificada como auditor líder en la norma ISO 9001: 2015.

También puede interesarte:

Gestión documental
Conocimiento

Gestión documental: qué es, sus beneficios y herramientas para poner en práctica

La gestión documental engloba todos los procesos y acciones que una empresa utiliza para gestionar sus documentos de  forma eficiente y segura. Esto requiere una estructura definida y efectiva para crear, almacenar, organizar, controlar el acceso y disponer de este tipo de material, ya sea físico o digital. Así, la gestión de documentos electrónicos es … <a href="https://blog-cms.softexpert.com:8080/es/gestion-documental/" class="more-link">Continue reading<span class="screen-reader-text"> "Gestión documental: qué es, sus beneficios y herramientas para poner en práctica"</span></a>

identification-des-risques
Conocimiento

7 métodos y herramientas para la identificación de riesgos

La identificación de riesgos es el proceso de analizar y evaluar el entorno de trabajo y la operación para identificar sucesos que podrían dañar la salud de los trabajadores y/o la eficacia de las actividades. Este cuidado ayuda a prevenir accidentes, apoya las medidas de seguridad y protege la calidad de los productos/servicios ofrecidos. Por … <a href="https://blog-cms.softexpert.com:8080/es/identificacion-riesgos/" class="more-link">Continue reading<span class="screen-reader-text"> "7 métodos y herramientas para la identificación de riesgos"</span></a>

¿Qué es la gestión del cambio, para qué sirve y cuáles son las metodologías?
Conocimiento

¿Qué es la gestión del cambio, para qué sirve y cuáles son las metodologías?

La gestión del cambio es una forma sistemática de manejar la transición o transformación de los objetivos, procesos o tecnologías de una organización. Se trata de preparar y apoyar a los empleados, líderes y equipos durante el proceso de cambios en la empresa. El objetivo principal de la gestión del cambio es implementar estrategias para … <a href="https://blog-cms.softexpert.com:8080/es/gestion-del-cambio/" class="more-link">Continue reading<span class="screen-reader-text"> "¿Qué es la gestión del cambio, para qué sirve y cuáles son las metodologías?"</span></a>

semana da qualidade
Conocimiento

Semana de la Calidad 2024: ¡del cumplimiento al rendimiento!

Conozca más sobre la Semana Mundial de la Calidad 2023 y descubra cómo alcanzar el potencial competitivo a través de la calidad.

Logo SoftExpert Suite

La solución empresarial más completa para la gestión integrada del cumplimiento, la innovación y la transformación digital