La actualización de la norma estándar ISO 27001 es simplemente la respuesta a los cambios que se han presentado y acentuado durante la pandemia, con una nueva realidad donde el teletrabajo es una modalidad que llegó para quedarse y un nuevo entorno global donde la Ciberseguridad está escalando a niveles que abordan tópicos de Seguridad Nacional.
UNA ACTUALIZACIÓN NECESARIA
El estándar ISO 27001 está en medio de una transformación para mantener su vigencia y actualizar su ámbito de cobertura, el uso ya generalizado en las empresas del cómputo en la nube, una mayor conciencia en temas relacionados con el desarrollo seguro y nuevas alternativas de tecnología han sido los principales detonantes de estos ajustes.
Los cambios que se presentaron en la industria con la aparición del Marco de Ciberseguridad del NIST (CSF) cuyo enfoque era proteger la infraestructura crítica que soporta los servicios esenciales de los Estados Unidos, las propuestas de Ciberseguridad de la Unión Europea reflejados en diversos documentos de la ENISA y las actualizaciones que ocurrieron en otras mejores prácticas como ITIL y COBIT -durante 2019- y PCI, durante este año también han influido en la necesidad de refrescar el contenido de esta norma.
El inicio del cambio surge con el lanzamiento del ISO 27002:2022 el 15 de febrero de 2022, con cambios que en principio generaron algunas críticas e incertidumbre por la forma en que se dio la nueva agrupación de los controles.
Hay muchas disciplinas cuya importancia era muy visible en las versiones de 2005 y 2013 y el cambio propuesto (y consensado por los más de 160 países que integran la ISO) nos lleva a una forma diferente de abordarlos.
Es de esperarse que antes de que termine el año tengamos actualizado el Anexo A de la norma ISO 27001, los objetivos de alto nivel que se abordan en las Cláusulas 4 a 10 muy probablemente no tendrán modificaciones y el cambio permitirá emparejar esta norma con los cambios ya liberados de la norma ISO 27002:2022
Los cambios son a grandes rasgos la agrupación de algunos controles del estándar ISO 27001 de 2013 y la incorporación de 11 nuevos (mostrados a continuación) para esta versión del 2022. El total de controles se reduce de 14 grupos y 114 controles del 2013 a 4 grupos y 93 controles para la versión del 2022 cuya distribución puede ver en el gráfico anterior.
La nueva agrupación de controles está contenida en las Cláusulas 5, 6, 7 y 8 del estándar ISO 27001 de 2022.
1.Los nuevos controles para la Cláusula 5 “Controles Organizativos” son:
- Inteligencia de Amenazas (5.7)
- Seguridad de la Información para el uso de servicios en la nube (5.23)
- Preparación de las TIC para la continuidad de Negocio (5.30)
2. Para la Cláusula 6 “Controles de Personas” no hay nuevos controles
3. Para la Cláusula 7 “Controles Físicos”, tenemos un control
- Monitoreo de la Seguridad Física (7.4)
4. Para la Cláusula 8 “Controles Tecnológicos” tenemos los siguientes controles:
- Gestión de la Configuración (8.9)
- Eliminación de la Información (8.10)
- Enmascaramiento de Datos (8.11)
- Prevención de la Fuga de Datos (8.12)
- Monitoreo de Actividades (8.16)
- Filtrado Web (8.22)
- Codificación Segura (8.28)
¿Cómo afectan estos cambios a empresas con diferentes proyectos que están implementando o auditando el estándar ISO 27001?
En realidad, no hay una afectación inmediata, los certificados de las empresas que trabajaron para cumplir con la norma ISO 27001:2013 pueden continuar y se liberarán con esa referencia que tendrá una vigencia por 3 años. Las auditorías de vigilancia o proyectos nuevos se deberían realizar con la norma que será vigente en algún momento antes de que termine el año: la ISO 27001:2022. Si fuera una necesidad de la empresa se podrá auditar con la actualización de la norma y refrescar el certificado con las nuevas definiciones.
La metodología de implementación de la norma no tendrá impactos mayores por lo que los proyectos en marcha pueden continuar su curso, y para quienes cuentan con certificaciones lo único que podrían requerir es tomar un curso puente sobre la norma para refrescar sus conocimientos.
En conclusión, cualquier norma -y más aún una tan importante dirigida a la Ciberseguridad- debe reflejar el contexto del tiempo y el momento en el que regula su aplicación. El estándar ISO 27001 seguirá evolucionando y manteniéndose como una referencia confiable para las organizaciones.
De hecho la misma Seguridad ha evolucionado y hoy ya no solo fija su atención en los clásicos atributos de Confidencialidad, Integridad y Disponibilidad, hoy bajo los esquemas de comercio electrónico, firma digital para todo tipo de trámites y un mundo donde cada vez tenemos menos información en activos tangibles, otras variables como la Autenticidad, el No Repudio, la Privacidad y la Protección de las Personas van conformando el paradigma sobre el cual la Ciberseguridad continuará innovando los próximos años.
Conoce al autor de este artículo
ESTEBAN SAN ROMÁN
Instructor certificado CYNTHUS
Profesional de Seguridad de la Información
CISSP, CISA, CRISC, CEH, ITIL, ISO 27001 LI/LA
