Saltar al contenido principal

ÚLTIMAS NOTICIAS

ARTÍCULOS RECIENTES

Publicado el 7 diciembre 2022

Cambios en el ISO/IEC 27001 versión 2022

La nueva versión del estándar ISO/IEC 27001 ha sido publicada el 25 de octubre de 2022 y sustituye la versión que fue publicada en 2013.

Un poco de historia

En 1990 surge el primer estándar o norma relacionado con seguridad, el BS 7799 (British Estándar), que posteriormente es tomado por la Organización de estándares Internacionales – ISO y lo publica como estándar internacional con la nomenclatura ISO 17799 en el año 2000, posteriormente cambia a su nombre definitivo como ISO/IEC 27002 en el año 2005 como parte dela familia ISO 27000; para el año 2013 se realiza la segunda revisión para adecuarse a las necesidades de ese momento, la tercera revisión fue publicada en febrero de 2022, la cual es el texto vigente, cabe mencionar que este es un documento de buenas prácticas técnicas.

En 1998 se publica el estándar que considera la seguridad dentro de un ciclo de mejora continua, el cual se publicara por la ISO en la norma ISO/IEC 27001 en el año 2005, para el año 2013 se realiza la segunda revisión, la cual hasta el momento de redactar estas notas es la versión vigente.

Cabe señalar que para el Sistema de Gestión de Seguridad de la Información (SGSI), primero se dieron los elementos técnicos y posteriormente se redactan los elementos administrativos para ser un sistema de gestión certificable.

Es importante resaltar que al momento de publicar la norma en 2013 se atiende la problemática que existe en ese momento, relativa a la seguridad de la información, y es para todos evidente que el mundo de 2013 es muy diferente al mundo de 2022.

  • Pasamos por una pandemia de SARS CoV 2 que lo mismo tuvo un impacto cultural, económico y sobre todo tecnológico desde el año 2019 hasta la fecha.
  • Derivado del confinamiento muchas empresas maximizan el uso de sus recursos y optan por el teletrabajo, educación a distancia e interacción de los equipos de trabajo por medio de herramientas de trabajo colaborativo desde 2020.
  • Se incrementa el acceso a Internet por medio de dispositivos móviles.
  • Cambia el paradigma de los centros de datos y se da un gran impulso a consumir servicios desde la nube.
  • Se incrementa el número de ciberataques a distintas organizaciones en todo el mundo durante la pandemia.
  • Aparecen nuevos tipos de malware como es el ramsomware WanaCrypt0r o también conocido como WannaCry es un ransomware que apareció en mayo de 2017 .
  • Surge nueva normatividad relativa a protección de la privacidad, siendo el Reglamento General de Protección de Datos (RGPD), que entró en vigor el 24 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018 en la Unión Europea, y se convierte en un parteaguas en tema de protección de la privacidad de datos personales.
  • Surge una gran cantidad de nuevos activos tecnológicos al impulsar el Internet de las cosas (IoT).
  • Se está generando un gran volumen de información cada segundo desde los millones de dispositivos que se conectan a internet.

Todos estos aspectos se traducen en necesidades y expectativas de muchos interesados que deben de ser cubiertos por la nueva versión.

¿Qué esperar en la nueva versión?

¿Tiene cambios la nueva versión? Si, pero no en su estructura. Se mantiene la estructura establecida en el anexo SL de ISO desde 2015.

Cambios En El Iso/Iec 27001 Versión 2022
Esquema contexto de la organización

5           Liderazgo.

6           Planificación.

7           Soporte.

8           Operación.

9           Evaluación del desempeño.

10         Mejora.

El cambio más evidente es el anexo A, que contiene todos los controles del sistema de gestión y que corresponde con la norma ISO/IEC 27002 publicada en febrero de 2022.

Los cambios más notables en la norma ISO 27002 son:

  • Un total de 93 controles de seguridad de la información.
  • Nuevo nombre de la norma.
  • Nueva nomenclatura y estructura al cambiar de 14 dominios a sólo 4 grandes dominios.
  • Cambios en los controles, donde vamos a tener nuevos controles y controles que se fusionan.
  • Nuevos conceptos y aparición de atributos de cada control.

El cambio del nombre de la norma tiene un enorme impacto. Cambia de “Código de prácticas para los controles de seguridad de la información” a “Código de prácticas para los controles de seguridad de la información, ciberseguridad y protección de la privacidad”, por lo que si antes era muy ambicioso el trabajar en la seguridad de la información, porque esta existe en toda la empresa, ahora la norma indica que también se tiene que trabajar en la ciberseguridad es decir la seguridad en el ciberespacio y además cuidar de otro atributo de la información que es la privacidad.

Entonces este cambio en el título de la norma, sin ir más allá para analizar los controles implica:

Cláusula 4

Identificar el interno y el entorno de la organización.

  • La nueva norma al abarcar ciberespacio implica analizar el entorno a una mayor profundidad y sus implicaciones.

Identificar grupos de interés

  • Grupos que estarán preocupados ahora por la privacidad y la ciberseguridad.

Entonces en forma automática el alcance del Sistema de Gestión cambia.

Cláusula 5

En esta cláusula identificamos la política de seguridad de la información que obviamente deberá ampliarse para ser Política de seguridad de la información, ciberseguridad y protección de la privacidad.

Cláusula 6

Planeación, la gestión de riesgos debe ampliarse al considerar no sólo los activos de la organización, sino también los activos personales, y los activos del ciberespacio.

En esta cláusula se considera la planeación y será impactada por el tema de agilidad en diversos sectores, la gestión de cambios administrados será un tema clave a tomar en cuenta, para evitar que un cambio no gestionado de la forma adecuada pueda impactar al SGSI y a la organización en general. Si bien en la cláusula 7 se tiene el requisito de información documentada, en este lugar debe tomarse en cuenta la gestión de cambios derivada por los controles de seguridad.

Cláusula 7

Aparentemente no existen cambios en su contenido, pero al considerar los recursos para cubrir privacidad y ciberseguridad, el cambio se experimentará al implementarse.

Cláusula 8

El tratamiento de riesgos y el uso del anexo A y en consecuencia la norma ISO 27002 implica un desafío para entender y aplicar el nuevo esquema de controles u homologar con los controles existentes.

Cláusula 9

La evaluación deberá considerar el alcance definido desde la cláusula 4, igualmente el monitoreo de los controles de forma consistente a lo largo del tiempo va a afectar la implementación y cumplimiento de esta cláusula.

Cláusula 10

La mejora ya no sólo provendrá desde el interior de la organización, cambios reglamentarios, en el entorno, cambios tecnológicos en el ciberespacio, también son fuentes que deberán de considerarse para la mejora y adaptación del sistema de gestión.

Anexo A,

Es donde más cambios tiene la norma al incorporar controles de seguridad de la información, ciberseguridad y protección de la privacidad, y será necesario el análisis de la norma ISO 27002:2022 para revisar y hacer la transición de los controles actuales a los de la norma versión 2022. Sobre todo, porque al abarcar el ciberespacio se debe analizar el marco de controles de NIST como un atributo de los controles publicados.

Conclusión

La seguridad ya no es competencia de un pequeño grupo de especialistas, sino que debemos de evolucionar en una nueva cultura y generar conciencia de la seguridad, ciberseguridad y la protección de la privacidad como un todo.

Ya no vivimos en el mundo de 2013 cuando se publicó la segunda revisión sino que formamos parte de una sociedad que vive en una nueva normalidad, después de un confinamiento debido a una pandemia, que está permanentemente interconectado, interactuando con información que generamos a cada segundo en nuestros teléfonos, dispositivos IoT, y que a veces no somos conscientes de los grandes volúmenes de información que generamos, geolocalización, Big Data, datos estructurados y no estructurados, así como la incorporación de la inteligencia artificial que tanto puede jugar a nuestro favor, como en nuestra contra, además de que las normativas nos obligan a ser más cuidadosos con la información que manejamos.

La norma no cambia en su estructura, pero si en su alcance, y nuestra visión o la falta de ella va a afectar su efectividad, seguiremos ocupando el ciclo de mejora continua PHVA para mejorar y proteger nuestra información.

La norma ISO 27001, así como el libro de hechizos de la bruja, podremos leerla una, diez, cincuenta veces y llegaremos a la misma conclusión: “No se entiende”. Pero al analizarla bajo la guía y orientación de alguno de las y los “iniciados” nos dará los elementos para no solamente entender sino implementar y usar la tecnología a nuestro favor.

Se ha hecho un esfuerzo considerable por los miembros del comité técnico de la ISO para revisar, analizar, y responder a las inquietudes, expectativas y necesidades que tenemos al día de hoy, para proteger los datos organizacionales y personales, los datos que vive en todos nuestros dispositivos, y la información que se intercambia consciente e inconscientemente entre nuestros dispositivos y sistemas en las diferentes organizaciones.

Los detalles de estos cambios los veremos hasta que la versión oficial sea publicada, pero podemos anticipar mucho trabajo. Pasos gigantes ya han dado las organizaciones para pasar de la seguridad informática a la seguridad de la información y ahora el nuevo reto es cubrir no sólo la seguridad de la información, sino que también debemos de abarcar la ciberseguridad y la protección de la privacidad.

Para saber más:

  • ISO/IEC 27001:2022.
  • ISO/IEC 27002:2022.
  • ISO/IEC 27032:2012.
  • Cybersecurity Framework del NIST.

Conoce al autor de este artículo

Foto Instructor Damian Palomino

DAMIAN PALOMINO

Instructor certificado CYNTHUS

 Profesional de Tecnologías de la Información, particularmente en temas de Seguridad de la Información, Riesgos y Continuidad del Negocio.

ISO 22301 Líder Implementador, ISO 22301 Auditor Líder, ISO 27001 Senior Auditor Líder y Auditor Interno, ISO 27032 Gerente Líder en Ciberseguridad, ISO 37001 Implementador Líder y Auditor Líder, CISA, CRISC, COBIT 5 Fundamentos, ITIL Expert V3.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos Relacionados

Auditoria y Consultoría

Prevención de la corrupción y el soborno bajo un análisis de datos riguroso.

¿Cuál es la mejor manera de combatir la corrupción y el soborno?

Leer Más
Seguridad de la información y Ciberseguridad

ISO 28000: Gestión de la seguridad organizacional y de la cadena de suministro

La ISO 28000 brinda controles de seguridad a la Cadena de Suministro de las organizaciones. Por su “estructura armonizada” puede integrarse con otras normas de gestión de sistemas, ayudando a fortalecer la seguridad de la información, la ciberseguridad y la gestión de riesgos.

Leer Más
Capacitación

Grupo CYNTHUS, primera empresa en Latinoamérica en recibir el reconocimiento Titanium Partner de PECB

Grupo Cynthus, empresa mexicana que brinda formación profesional en Tecnologías de la Información, fue galardonada con el distintivo Titanium Partner otorgado por Professional Evaluation and Certification Board (PECB), organismo internacional de certificación, que brinda capacitación en una amplia gama de estándares y disciplinas globales.

Leer Más

¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS

Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.

0 artículos Carrito de compras
    0
    Tu carrito Cerrar
    Your cart is emptyRegresar a compra