El 25 de octubre de 2022, la ISO 27001 se actualizó mediante la publicación de la nueva ISO/IEC 27001:2022. ¿Conoces las novedades?

La seguridad de la información es una responsabilidad de gobernanza corporativa. No puede considerarse una iniciativa aislada del equipo de Tecnología de la Información, sino como un tópico de estrategia de negocio. Desde esta perspectiva, las organizaciones se han esforzado por proteger la información controlada, crítica o confidencial de accesos indebidos que podrían causar daños irreversibles al negocio.

La familia de normas ISO 27000 ayuda a las organizaciones a mantener en seguridad a los activos de información. La adopción de esta familia de normas ayuda a las organizaciones a gestionar la seguridad de activos, tales como la información financiera, la propiedad intelectual, los detalles de los funcionarios o la información confiada por terceros. La ISO/IEC 27001 es la norma más conocida de esta familia y contempla los requisitos para el sistema de gestión de la seguridad de la información (SGSI).

La revisión

Tras nueve años, el 25 de octubre de 2022 se actualizó la ISO 27001 y se publicó la nueva ISO/IEC 27001:2022, lo que generó cierta expectativa en el mercado.

Esta nueva versión viene a ayudar a las organizaciones a gestionar los controles de forma más eficaz, agrupándolos en cuatro “temas” claros: organizativo, personal, tecnológico y físico. Este cambio fundamental tiene el objetivo de proporcionar una mayor claridad, foco y responsabilidad en materia de seguridad de la información dentro de una organización.

Si bien esta revisión sólo aporta cambios moderados, es importante estudiarlos detenidamente. Así que en este artículo te comentaremos sobre todos los cambios y compararemos esta revisión de 2022 con la antigua, de 2013.

La ISO 27001 no es la ISO 27002

Antes de empezar con las novedades en sí, vayamos a un tema importante que todavía causa muchas dudas: no confundas la norma ISO 27001 con la ISO 27002.

Para aclarar, la ISO 27001 es la norma con la que puede certificar a tu empresa, mientras que la 27002 es la norma de apoyo que proporciona lineamientos sobre la implementación de controles de seguridad. La diferencia más importante es que la ISO 27002 no es obligatoria para la certificación ISO 27001 y tu empresa no puede ser certificada por la ISO 27002.

Nueva revisión, título nuevo

Un cambio interesante, que refleja la evolución de la tecnología y la cobertura de los temas asociados a la seguridad, es el relativo al nuevo título de la norma.

A diferencia de la ISO/IEC 27001:2013, el título completo de la nueva versión es ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. En español, podemos ver la sutil pero importante diferencia:

Tal y como estaba (ISO/IEC 27001:2013): “Tecnología de la información – técnicas de seguridad – sistemas de gestión de la seguridad de la información”.

Como quedó ahora (ISO/IEC 27001:2022): “Seguridad de la información, ciberseguridad y protección a la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos”.

Este cambio no generará impactos para tu empresa, sólo recuerda actualizar tus documentos donde se cite la norma tanto en el nombre como en la nueva versión.

El Anexo A con una nueva cara

A primera vista, el Anexo A ha cambiado mucho: el número de controles se ha reducido de 114 a 93 y está organizado en apenas cuatro secciones, frente a las 14 de la revisión de 2013. Sin embargo, tras una mirada más detallada, resulta obvio que las alteraciones en el Anexo A son apenas moderadas y están alineadas con las actualizaciones de la ISO/IEC 27002:2022, publicadas al inicio de 2022.

El Anexo A de la ISO/IEC 27001:2022 ha tenido alteraciones tanto en el número de controles como en su listado en grupos. Para empezar, el título del anexo ha tenido una pequeña alteración, que ha pasado de Objetivos y controles de referencia a Referencia de controles de la seguridad de la información.

Volviendo a la disminución del número de controles, se debe principalmente a la fusión de muchos de ellos. Vayamos a los números: 35 controles permanecieron igual, 23 cambiaron de nombre, 57 controles se fusionaron en 24 y un control se dividió en dos. Como hemos comentado anteriormente, este rediseño se ha llevado a cabo para reflejar la actualización tecnológica y un enfoque más exhaustivo de los dominios de seguridad. Observa cómo se han reestructurado los 93 controles en cuatro grandes grupos:

  1. A.5 Controles organizativos – contienen 37 controles
  2. A.6 Controles de personas – contienen 8 controles
  3. A.7 Controles físicos – contienen 14 controles
  4. A.8 Controles tecnológicos – contienen 34 controles

La nueva versión también ha traído 11 nuevos controles que se mencionan a continuación:

  1. Inteligencia sobre amenazas – obtener información sobre amenazas, analizarlas y tomar las medidas de mitigación adecuadas.
  2. Seguridad de la información para el uso de servicios en nube – establecer requisitos de seguridad en los servicios cloud.
  3. Preparación de TIC para la continuidad de los negocios – asegurar que las TIC estén preparadas para las interrupciones y que la información y los activos estén listos cuando se necesiten.
  4. Monitoreo de seguridad física – monitoreo físico de áreas sensibles para control de accesos.
  5. Gestión de configuraciones – gestión del ciclo completo de la tecnología (definición de la configuración, implementación, supervisión y revisión).
  6. Exclusión de información – asegurar la eliminación de la información cuando ya no sea necesaria, como forma de evitar fugas de información, en particular de información sensible y privada.
  7. Enmascaramiento de datos – utilizar técnicas de “data masking” junto con controles y accesos para limitar la exposición de información sensible.
  8. Prevención de fuga de datos – aplicar medidas para evitar la divulgación no autorizada de información.
  9. Actividades de monitoreo – monitoreo de los sistemas para eliminar comportamientos anómalos y posibles incidentes relacionados con la seguridad de la información.
  10. Filtrado web – protección de los sistemas de TI a través de la gestión de las páginas web que los utilizadores tienen acceso.
  11. Codificación segura – establecer principios de código seguro, aplicables a partir del desarrollo del software.

¿La revisión afectará a tu actual certificado ISO/IEC 27001?

¡Buenas noticias! Las nuevas alteraciones en la ISO/IEC 27001:2022 no afectarán a tu actual certificado ISO/IEC 27001. Pero es importante estar atento al periodo de transición.

De acuerdo con el documento “Requisitos de transición a la norma ISO/IEC 27001:2022” del International Accreditation Forum, para las empresas ya certificadas con la norma ISO 27001:2013, la transición a la ISO 27001:2022 debe de concluirse antes del 31 de octubre de 2025.

Los organismos de certificación deberán empezar a certificar a las empresas según la nueva versión a partir del 31 de octubre de 2023, pero la mayoría de ellos seguramente empezarán mucho antes. Así pues, si no estás certificado, deberás prestar atención a las alteraciones para incorporarlas antes de iniciar la auditoría.

Resumen final: cuánto serás impactado

Como los cambios en los controles, y en la norma en su conjunto, son muy pequeños, la transición hacia la nueva actualización de la norma será tranquila. Puede que sea necesario adaptar y actualizar uno u otro requisito, pero nada demasiado profundo. Si la empresa ya está certificada, sólo es necesario llevar a cabo actualizaciones para mantener la conformidad con relación a los nuevos controles.

Para resumir, las alteraciones en la parte fundamental del modelo patrón son pequeñas y pueden hacerse rápidamente, con apenas pequeñas alteraciones en la documentación y en los procesos. Las alteraciones en los controles del Anexo A son moderadas y pueden abordarse principalmente añadiendo los nuevos controles a la documentación existente.

Por supuesto, la expectación ante la revisión era grande, y muchos profesionales del área esperaban cambios más abrumadores. Pero estoy seguro de que las empresas que ya están certificadas por la revisión de 2013 se sentirán aliviadas porque el trabajo que hay que hacer no es tan grande.

Tecnología para ayudar en la seguridad de la información de tu empresa

SoftExpert ofrece la solución de software más completa y avanzada para la gestión de la seguridad de la información que atiende a las necesidades de las más rigurosas normativas globales. SoftExpert Excellence Suite ayuda a las empresas a adherir a la ISO/IEC 27001, reduciendo los costos de conformidad, maximizando el éxito, aumentando la productividad y reduciendo los riesgos.

La solución SoftExpert permite que las organizaciones atiendan fácilmente a los requisitos de la ISO 27001, garantizando los tres pilares de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad (CID). Ayuda en la gestión de riesgos, controles, políticas de seguridad de la información, activos, incidentes, proveedores, indicadores de rendimiento, procesos, entre otros. Esto impulsa la eficacia de la organización y reduce el retrabajo y el desperdicio. ¿Quieres obtener más información? Comunícate con uno de nuestros especialistas, que estará siempre a disposición para presentarte nuestra solución.

Conversar con especialista

Camilla Christino

Autor

Camilla Christino

Camilla Christino es Analista de Negocios en SoftExpert, graduada en Ingeniería de Alimentos en el Instituto Mauá de Tecnologia. Tiene una sólida experiencia en el área de la calidad en las industrias alimentarias con un enfoque en el seguimiento y adecuación de los procesos de auditoría interna y externa, documentación del sistema de gestión de la calidad (ISO 9001, FSSC 22000, ISO / IEC 17025), Control de Calidad, Asuntos reglamentarios, buenas prácticas de fabricación (BPF)/normas de correcta fabricación (NCF), HACCP y FCC. También está certificada como auditor líder en la norma ISO 9001: 2015.

También puede interesarte:

Conocimiento

Conozca las 5 P para reuniones más productivas

¿Qué le parece hacer que sus reuniones sean más productivas? Sepa cuáles son los principales tipos de reuniones y conozca las 5 P para que sean más productivas.

Lea mas
Conocimiento

Análisis DAFO: qué es y cómo se hace

Lea este artículo y descubra cómo utilizar el análisis DAFO para aumentar los potenciales y mitigar las deficiencias de su empresa.

Lea mas
Conocimiento

El papel de la gestión de riesgos y auditorías internas en el gobierno corporativo

Cómo la gestión de riesgos y la auditoría interna pueden ser usadas efectivamente para fortalecer las estructuras de gobernanza de servicios financieros.

Lea mas
Conocimiento

ESG: El nuevo paradigma empresarial

Hace poco más de 20 años, se consideraban diferenciadas las empresas que se preocupaban por minimizar sus impactos ambientales, construir un mundo más justo y responsable para las personas de su entorno y mantener sus procesos alineados con una buena gestión de gobernanza corporativa. Hoy en día, independientemente del segmento al que pertenezca una empresa, … Continue reading “ESG: El nuevo paradigma empresarial”

Lea mas
Novedades Suite

SoftExpert Auditoría en los dispositivos móviles

Durante auditorías o inspecciones, un auditor precisa hacer anotaciones de forma rápida que después serán esenciales para su informe, ¿no es cierto? Y ahí cada uno tiene sus preferencias, principalmente cuando se trata de auditorías en donde no es posible acceder a la computadora, como en fábricas. Algunos cargan una plancheta y hacen anotaciones en … Continue reading “SoftExpert Auditoría en los dispositivos móviles”

Lea mas
Conocimiento

Cadena de Valor: Qué es y cómo crearla

El aumento de la competitividad exige que las empresas reevalúen constantemente cuáles son sus ventajas competitivas y qué valor le están entregando a sus clientes. Una cadena de valor puede ayudar a traer estas respuestas. Pero a fin de cuentas, ¿qué es una cadena de valor? Una cadena de valor nada más es un diagrama … Continue reading “Cadena de Valor: Qué es y cómo crearla”

Lea mas
¡Reciba contenido gratuito en su e-mail!

Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas en gestión producidos por especialistas.

Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.

Por favor, rellene el formulario para descargar

Campo obligatorio
Campo obligatorio
Campo obligatorio
Por favor , introduce um número de teléfone válido
Campo obligatorio

Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad