Nueva Versión ISO 27001:2022

La ISO/IEC 27001 es la norma internacional que proporciona los requisitos mínimos para desarrollar un Sistema de Gestión de Seguridad de la Información en las organizaciones. La nueva versión fue publicada el 25 de octubre de 2022 y ofrece un alcance más técnico, ya que la estructura de alto nivel se mantiene.

Esta modificación se adapta a las nuevas necesidades que han surgido con la implantación del teletrabajo y el uso de la nube, lo que se traduce en nuevos riesgos.

Cambios-en-la-iso-27001

El Foro Internacional de Acreditación (IAF) ha publicado un documento titulado Requisitos de transición para ISO/IEC 27001:2022 con el propósito de establecer las reglas necesarias para que los organismos de certificación actúen de forma coordinada.

Cambios en el cuerpo de la ISO 27001:2022.

A continuación, repasaremos todos los cambios de la norma capítulo por capítulo.

  • Capítulo 4: Contexto de la organización
    • Cláusula 4.1: Comprensión de la organización y de su contexto. Sin cambios.
    • Cláusula 4.2: Comprensión de las necesidades y expectativas de las partes interesadas. Sin cambios.
    • Cláusula 4.3: Determinación del alcance del sistema de gestión de la seguridad de la información. Sin cambios.
    • Cláusula 4.4: Sistema de gestión de la seguridad de la información. Se ha añadido en la frase el término «incluyendo los procesos necesarios y sus interacciones».
  • Cláusula 5: Liderazgo
    • Cláusula 5.1: Liderazgo y compromiso. Sin cambios.
    • Cláusula 5.2: Política. Sin cambios.
    • Cláusula 5.3: Funciones, responsabilidades y autoridades de la organización. Indica que los roles relevantes en seguridad de la información deben ser comunicados en toda la organización.
  • Cláusula 6: Planificación
    • Cláusula 6.1: Acciones para abordar los riesgos y las oportunidades

En el 6.1.3 se hace referencia al Anexo A, como posibles controles de seguridad de la información, especificando que puede ser necesario implementar controles adicionales.

    • Cláusula 6.2: Objetivos de seguridad de la información y planificación para su consecución

Se hace referencia a la monitorización de los objetivos.

Clausula 6.3: Indica que debe existir un plan de como los cambios se van a implementar y validar.

  • Clausula 7: Soporte
    • Cláusula 7.1: Sin cambios
    • Cláusula 7.2: Competencia. Sin cambios
    • Cláusula 7.3: Toma de conciencia. Sin cambios
    • Cláusula 7.4: Comunicación. Se sustituye “quién debe comunicar” por “cómo comunicar”.
    • Cláusula 7.5 – Información documentada.

A lo largo de toda la norma se han sustituido las palabras «norma internacional» por «documento».

  • Clausula 8: Operación
    • Cláusula 8.1 – Planificación y control operacional.

Especifica: “establecer criterios para los procesos y aplicar el control de los mismos”. También se menciona que la información documentada esté “disponible”, en vez de “mantener”.

    • Cláusula 8.2 – Evaluación de los riesgos para la seguridad de la información. Sin cambios
    • Cláusula 8.3 – Tratamiento de los riesgos de la seguridad de la información. Sin cambios
  • Cláusula 9: Evaluación del desempeño
    • Cláusula 9.1 – Seguimiento, medición, análisis y evaluación.

Se elimina «la organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión», ya que se menciona en otras partes de la cláusula.

    • Cláusula 9.2 – Auditoría interna. Sin cambios de contenido.
    • Cláusula 9.3 – Revisión por la dirección.

Se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el Sistema de la seguridad de la información.

  • Cláusula 10: Mejora
    • Cláusula 10.1. Mejora continua. Sin cambios.
    • Cláusula 10.2. No conformidad y acción correctiva. Sin cambios.

Como podemos comprobar los cambios en el contenido de la norma son menores, la mayoría se trata de aclaraciones en el contenido.

Los cambios más relevantes se encuentran en el Anexo A, donde se especifican los controles a aplicar.

Cambios en el Anexo A.

En esta versión de la ISO/IEC ISO 27001, en anexo A ha subido una reestructuración y reagrupación de los controles, simplificando su comprensión.

Este anexo está formado por 93 controles organizados en 4 grupos, mientras que la versión anterior contenía 114 controles organizados en 14 categorías.

De forma general se incorporan 11 nuevos controles, 24 se han fusionado, 58 actualizados, y 35 se mantienen sin cambios.

Controles

Los controles del anexo quedan organizados de la siguiente manera:

  • Controles organizacionales
  • Controles de recursos humanos
  • Controles físicos
  • Controles tecnológicos.

A continuación indicamos como quedan redactados y cuáles son los controles que sufren cambios o son nuevos.

Controles organizacionales.

Incluyen un total de 37 controles, de los cuales 34 son existentes y 3 nuevos.

  • 1: Políticas de seguridad de la información
  • 2: Funciones y responsabilidades en materia de seguridad de la información
  • 3: Segregación de funciones
  • 4: Responsabilidades de la dirección
  • 5: Contacto con las autoridades
  • 6: Contacto con grupos de interés especial
  • 7: Inteligencia de amenazas (NUEVO)
  • 8: Seguridad de la información en la gestión de proyectos
  • 9: Inventario de la información y otros activos asociados
  • 10: Uso aceptable de la información y otros activos asociados
  • 11: Devolución de activos
  • 12: Clasificación de la información
  • 13: Etiquetado de la información
  • 14: Transferencia de información
  • 15: Control de acceso
  • 16: Gestión de la identidad
  • 17: Información de autenticación
  • 18: Derechos de acceso
  • 19: Seguridad de la información en las relaciones con los proveedores
  • 20: Gestión de la seguridad de la información en los acuerdos con los proveedores
  • 21: Gestión de la seguridad de la información en la cadena de suministro de las TIC
  • 22: Monitoreo, revisión y gestión de cambios de los servicios de los proveedores
  • 23: Seguridad de la información para servicios en la nube (NUEVO)
  • 24: Planificación y preparación de la gestión de incidentes de seguridad de la información
  • 25: Evaluación y decisión sobre eventos de seguridad de la información
  • 26: Respuesta a incidentes de seguridad de la información
  • 27: Aprendizaje de los incidentes de seguridad de la información
  • 28: Recogida de pruebas
  • 29: Seguridad de la información durante la interrupción
  • 30: Preparación de las TIC para la continuidad del negocio (NUEVO)
  • 31: Identificación de los requisitos legales, reglamentarios y contractuales
  • 32: Derechos de propiedad intelectual
  • 33: Protección de registros
  • 34: Privacidad y protección de la información personal
  • 35: Revisión independiente de la seguridad de la información
  • 36: Cumplimiento de políticas y normas de seguridad de la información
  • 37: Procedimientos operativos documentados

Controles de recursos humanos.

Incluyen un total de 8 controles, todos existentes

  • 1: Selección de personal
  • 2: Términos y condiciones de empleo
  • 3: Concienciación, educación y formación en materia de seguridad de la información
  • 4: Proceso disciplinario
  • 5: Responsabilidades después de la terminación o cambio de empleo
  • 6: Acuerdos de confidencialidad o no divulgación
  • 7: Trabajo a distancia – NUEVO
  • 8: Reporte de eventos de seguridad de la información

Controles físicos.

Incluyen un total de 14 controles: 13 existentes y 1 nuevo.

  • 1: Perímetro de seguridad física
  • 2: Controles físicos de entrada
  • 3: Seguridad de oficinas, salas e instalaciones
  • 4: Supervisión de la seguridad física (NUEVO)
  • 5: Protección contra amenazas físicas y ambientales
  • 6: Trabajar en áreas seguras
  • 7: Escritorio y pantalla despejados
  • 8: Ubicación y protección de los equipos
  • 9: Seguridad de los activos fuera de las instalaciones
  • 10: Medios de almacenamiento
  • 11: Servicios de apoyo
  • 12: Seguridad del cableado
  • 13: Mantenimiento de equipos
  • 14: Seguridad en la eliminación o reutilización de equipos

Controles tecnológicos.

Incluyen un total de 34 controles, 27 controles existentes y 7 nuevos.

  • 1: Dispositivos de punto final del usuario
  • 2: Derechos de acceso con privilegios
  • 3: Restricción de acceso a la información
  • 4: Acceso al código fuente
  • 5: Autenticación segura
  • 6: Gestión de la capacidad
  • 7: Protección contra el malware
  • 8: Gestión de las vulnerabilidades técnicas
  • 9: Gestión de la configuración (NUEVO)
  • 10: Eliminación de información (NUEVO)
  • 11: Enmascaramiento de datos (NUEVO)
  • 12: Prevención de fuga de datos (NUEVO)
  • 13: Copia de seguridad de la información
  • 14: Redundancia de las instalaciones de procesamiento de la información
  • 15: Registro de datos
  • 16: Actividades de monitorización (NUEVO)
  • 17: Sincronización de relojes
  • 18: Uso de programas de utilidad privilegiados
  • 19: Instalación de software en sistemas operativos
  • 20: Controles de red
  • 21: Seguridad de los servicios de red
  • 22: Filtrado web (NUEVO)
  • 23: Segregación en redes
  • 24: Uso de criptografía
  • 25: Ciclo de vida de desarrollo seguro
  • 26: Requisitos de seguridad de las aplicaciones
  • 27: Arquitectura de sistemas seguros y principios de ingeniería
  • 28: Codificación segura (NUEVO)
  • 29: Pruebas de seguridad en el desarrollo y la aceptación
  • 30: Desarrollo externalizado
  • 31: Separación de los entornos de desarrollo, prueba y producción
  • 32: Gestión del cambio
  • 33: Información de pruebas
  • 34: Protección de los sistemas de información durante la auditoría y las pruebas

Proceso de transición

El periodo de transición durará tres años (octubre 2025), momento en el que la norma ISO 27001:2013 se retirará.

Las entidades de certificación tendrán que acreditarse en la nueva versión de la norma, por lo que se estima que hasta abril-mayo de 2023 no se emitirán certificados ISO 27001:2022.

Las auditorías de transición se centrarán en los siguientes elementos:

  • Análisis de brechas de seguridad.
  • Actualización de la declaración de aplicabilidad (SOA).
  • Actualización del plan de tratamiento de riesgos.
  • Implementación de nuevos controles del Anexo A.

¿Qué deben hacer las organizaciones que ya obtuvieron la certificación ISO 27001:2013?

Las organizaciones podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de octubre de 2023 (un año después de la publicación de la nueva versión)

Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025.

Por tanto, las organizaciones contarán con tres años (hasta octubre de 2025), para ajustar los Sistemas de Gestión al nuevo estándar ISO/IEC ISO 27001:2022 y obtener la nueva certificación, sin que la validez de su certificado actual se vea afectado.

Conclusiones sobre la ISO 27001:2022

A modo de conclusión indicamos que:

  • Se han producido cambios poco importantes en el contenido de las cláusulas. La mayoría de los cambios suponen un cambio en la redacción y alguna aclaración.
  • El cambio mas importante está en el anexo A, como se comentaba en uno de los puntos anteriores, los controles se agrupan en 4 categorías, facilitando la comprensión. Asimismo, se incorporan controles nuevos para abordar las nuevas circunstancias y abordar nuevos riesgos de seguridad.

Nuestra recomendación es que si estáis en proceso de implantación de ISO 27001:2013 o si se acerca el momento de renovación de la certificación empecéis a utilizar los nuevos controles del Anexo A.

Aquellas organizaciones que hayan implementado soluciones tecnológicas y/o una transformación digital tendrán esta adaptación más sencilla.