Debido al entorno tan cambiante que estamos viviendo en el ámbito de ciberseguridad, estamos viendo cómo muchos de los estándares o buenas prácticas están actualizándose para adecuarse a estos cambios. Uno de los estándares más conocidos es la ISO 27001 y su última actualización es la ISO 27001 2013, es por eso que desde hace años se está solicitando por parte de los profesionales su actualización. La ISO 27001 es un estándar completamente basado en riesgos y está diseñado para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI).
Se espera que la norma ISO/IEC 27001 esté lista para finales de 2022 después de haber tenido retrasos causados, en gran parte, por la pandemia y tras muchas críticas recibidas por los profesionales de la ciberseguridad a causa de dicho retraso en su actualización.
Entendamos primero qué es la ISO 27001 y la ISO 27002
Al igual que otros estándares de sistemas de gestión ISO, los requisitos de la ISO 27001 están orientados a procesos. Pero, debido a la naturaleza técnica de la seguridad de la información, este estándar incluye controles de seguridad específicos que deben seguir las organizaciones. ISO 27001 los enumera en el Anexo A.
Sin embargo, el Anexo A no proporciona detalles sobre estos controles. Para ello, debes consultar las Técnicas de seguridad y el Código de prácticas para los controles de seguridad de la información ISO 27002.
La ISO 27002 esencialmente refleja todos los controles del Anexo A de la ISO 27001 y proporciona una guía de implementación muy detallada para cada control. Esta norma fue actualizada en 2022 y, cuando se publique la nueva versión de la ISO 27001, se espera que los controles del Anexo A coincidan con los de la nueva ISO 27002: 2022. Por lo tanto, podemos tomar la ISO 27002: 2022 como una guía útil sobre cómo implementar los controles..
Si bien ISO 27001 e ISO 27002 son estándares ISO/IEC, las empresas solo se pueden certificar en la ISO 27001. ISO 27002 simplemente sirve como un documento de orientación que explica los controles de seguridad a los que se hace referencia en el estándar de certificación ISO 27001.
Cuáles son los principales cambios
Las actualizaciones principales de 2022 se aplican a los controles de seguridad de ISO 27002 ya actualizados y, por tanto, el Anexo A de ISO 27001 también se actualizará para reflejar esos cambios.
No se espera que las cláusulas de la ISO 27001 desde la 4 a la 10 vayan a sufrir grandes cambios respecto de la versión de 2013
Es importante recordar que, las cláusulas de la primera mitad del documento ISO 27001 deben cumplirse por completo para la certificación, y que no se requiere cumplir con los controles de la ISO 27002, puesto que sirven como referencia de controles genéricos de seguridad de la información que están diseñados para ser utilizado por las organizaciones.
Para las actualizaciones de la ISO 27002, la cantidad de controles se redujo, pasando de 114 a 93 y se ubicaron en 4 secciones en lugar de las 14 anteriores. La disminución de los controles es el resultado de fusiones de controles, no de eliminación de los mismos.
La versión actualizada también proporciona un nuevo esquema organizativo para los controles. Los controles de seguridad ahora están ordenados por cinco atributos:
- Tipo de control
- Concepto de ciberseguridad
- Propiedades de seguridad de la información
- Capacidades operativas
- Dominios de seguridad
Estos nuevos atributos ayudarán a las empresas a priorizar los controles correctos para su contexto. Por ejemplo, si tu principal preocupación es la confidencialidad, puedes usar estos atributos para clasificar los controles por esa propiedad de seguridad de la información.
Cuándo entrará en vigor
Se espera que el lanzamiento de la norma para el cuarto trimestre de 2022. Suponiendo que el cambio siga el patrón típico de las nuevas versiones de la norma ISO, los organismos de acreditación otorgarán un período de gracia de 12 a 24 meses, lo que le dará un tiempo prudencial a las empresas para actualizar los procesos y la documentación, capacitar a los empleados, etc. Es decir, si tu SGSI ya está certificado, cualquier auditoría de recertificación programada para 2022 estará bajo el Estándar 2013.
Si actualmente estás planeando obtener tu primera certificación ahora y obtener la certificación de tu SGSI por primera vez en 2022 o principios de 2023, también se aplicará el estándar de 2013.
Lo que esto significa es que las organizaciones deben planear comenzar a implementar los elementos del nuevo Estándar en 2023, ya sea recertificando o certificando por primera vez, y realizar una transición completa a mediados de la segunda mitad de 2023 dependiendo de las fechas de certificación. Es probable que el estándar de 2013 finalice en algún momento de 2024.
Resumen
El estándar ISO 27001 en las cláusulas 4 a 10 permanecerá prácticamente igual y se ha informado que se están realizando pocos cambios. Estas cláusulas seguirán incluyendo el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Sin embargo, los controles de seguridad detallados en el Anexo A de ISO 27002:2013 se actualizaron a 27002:2022 y están diseñados para aumentar la conveniencia asociada con la implementación. Por ejemplo, la cantidad de controles ha disminuido de 114 a 93 y se colocan en 4 secciones en lugar de las 14 anteriores.
Expertos en ISO 27001
En S3 somos expertos en ISO 27001 y te asesoraremos para indicarte como abordar la transición a la última versión o cuando abordar tu primera certificación. Contáctanos en info@s3curetasun.net
Recordamos a nuestros compañeros de Sudamérica que nos han dirigido ciertas consultas relacionadas con la ISO 27001 que también prestamos servicio en Argentina, Méjico, Perú, Colombia, Chile, Brasil y Uruguay. No dudéis en continuar enviándonos dudas a nuestro correo.
Pingback: Se publica la nueva ISO27001:2022 – S3