Transición a la ISO 27001 - Los cambios que debe conocer
Los conceptos y la práctica de la seguridad de la información han evolucionado masivamente desde que se publicó la última versión de la norma ISO 27001 en 2013.
Entre las principales amenazas que afectaron a la seguridad de los datos empresariales en 2013 se encuentran la denegación de servicio (DoS), el malware y el spyware.
Desde entonces, las amenazas se han desarrollado, volviéndose más capaces y profesionales en sus operaciones. Aceleradas por la pandemia, las amenazas contra las empresas y los datos han experimentado un cambio hacia métodos más avanzados de ransomware por parte de actores como las bandas del crimen organizado y los estados-nación.
Entonces, ¿cuáles son los principales cambios de la norma ISO 27001:2022?
El primer cambio es el nombre: "Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos".
El cambio de nombre pone de relieve el vínculo existente entre la seguridad de la información, la ciberseguridad y la privacidad. La práctica de proteger los sistemas críticos y la información sensible de los ataques cibernéticos, físicos y multivectoriales combinados enlaza directamente con la protección de datos, garantizando que la información que le gustaría mantener a salvo como empresa, siga siéndolo.
Esto siempre ha sido importante, pero ahora es mucho más frecuente debido al rápido crecimiento del trabajo a distancia y a la demanda de soluciones basadas en la nube.
En las cláusulas 4-10 de la norma ISO 27001:2022, hay pocos cambios. Sin embargo, se han introducido algunas modificaciones en la estructura, la terminología, el orden de las palabras y, en algunos casos, la claridad de los requisitos.
Por ejemplo:
Adición de subcláusulas:
-
4.2 Comprender las necesidades y expectativas de las partes interesadas.
-
6.2 Objetivos de seguridad de la información y planificación para alcanzarlos.
-
9.3 Revisión por la dirección.
Se añade claridad:
-
5.3 Funciones, responsabilidades y autoridades de la organización. En concreto, la comunicación dentro de la organización.
-
6.1.3 Tratamiento de los riesgos para la seguridad de la información. Notas actualizadas.
Debe tener en cuenta que hay una nueva subcláusula, la 6.3 Planificación de cambios, que deberá ser considerada e implementada como parte de su Sistema de Gestión de la Seguridad de la Información.
El mayor cambio de la norma actualizada se refiere a los controles del anexo A, que se abordan en su totalidad en la norma ISO 27002.
Los 14 grupos de control y objetivos originales ya no existen y han sido sustituidos por cuatro grupos de control:
-
Organización.
-
Personas.
-
Físicos.
-
Tecnológicos.
El número total de controles se ha reducido de 114 a 93.
No se ha suprimido ningún control, pero se han consolidado varios y se han añadido 11 nuevos. Los cuatro grupos de controles se conocen como "temas" y se sugiere el uso de atributos para desarrollarlos, aunque no es obligatorio utilizarlos.
Los nuevos controles añadidos al Anexo A son adiciones muy necesarias y ayudan a poner al día la norma ISO 27001, alineándolos más fácilmente con nuestro clima de seguridad actual.
Estos nuevos controles incluyen:
-
Seguridad de la información para el uso de servicios en la nube.
-
Actividades de seguimiento.
-
Inteligencia sobre amenazas.
-
Preparación de las TIC para la continuidad de la actividad.
-
Vigilancia de la seguridad física.
-
Gestión de la configuración.
-
Eliminación de información.
-
Enmascaramiento de datos.
-
Protección contra la fuga de datos.
-
Filtrado web.
-
Codificación segura.
Probablemente descubrirá que ya está haciendo muchas de estas cosas y sólo tendrá que integrarlas en su SGSI.
NQA quiere ayudarle con la transición de su SGSI, por ello ponemos a su disposición diversos recursos:
- Análisis de deficiencias ISO 27001:2022
- Guía para la transición a ISO 27001:2022
- Cursos de formación sobre la ISO 27001:2022