Hace unas semanas se publicó la nueva ISO 27002:2022. El objetivo de las modificaciones llevadas a cabo, que ya se dieron a conocer en el borrador publicado hace unos meses, es simplificarla y adaptarla a las necesidades actuales. ¿Quieres conocer cuáles son los principales cambios? ¿Con qué periodo de adaptación van a contar las empresas? 

¿Cuáles son los principales cambios? 

Antes de entrar en materia, hay que recordar que la ISO 27002 está ligada a la 27001 (es un estándar de apoyo y respaldo). De hecho, incluye controles de seguridad técnicos y organizativos para implementar la ISO 27001, que es la norma certificable. En este punto, es necesario matizar que la ISO 27001 proporciona el marco de requisitos para poder implementar un Sistema de Gestión de Seguridad de la Información (SGSI) y la 27002 los controles de seguridad que, a modo de recomendaciones, sustentarían este sistema. Así, los cambios que se van a producir en la ISO 27002 durante este año permitirán agilizar la certificación. 

• Principales cambios: 

• • Lo primero que cambia es el nombre. A partir de ahora, el documento se denominará “Controles de Seguridad de la Información”. 
  • Reestructuración. La versión 2013 contaba con 14 dominios. En la actual, encontraremos cuatro grandes bloques de controles: organizacionales (37 controles), de personal (8 controles), físicos (14 controles) y tecnológicos (34 controles). 
  • Cambios en el número de controles. La nueva norma supone una reducción del número de controles, que pasan de 114 a 93. Esa disminución en el número no va a afectar a la inclusión de aspectos relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro. De hecho, se han añadido 11 controles nuevos y otros, de los existentes, se han agrupado o renombrado. 
  • Incorporación de nuevos elementos a nivel de control. Se incluye el uso de atributos como: tipos (preventivo, detectivo y correctivo); conceptos de ciberseguridad; (identificar, proteger, detectar, responder y recuperar); dimensiones (confidencialidad, integridad y disponibilidad), etc. Y, también, se incorpora la fundamentación (por qué es necesario aplicar cada control). 

Periodo de adaptación para las empresas 

Las empresas que estén certificadas en ISO 27001 deberán asegurar el cumplimiento de los nuevos controles y la reorganización los existentes, para adaptarse a la nueva 27002. En este sentido, será necesario que las organizaciones revisen el tratamiento de riesgos, alineen la lista de controles en la declaración de aplicabilidad (SOA) y actualicen las políticas y procedimientos. 

Por supuesto, para la realización de todos estos cambios, contarán con un periodo de transición (suele ser de dos años). Pero, hay que tener en cuenta que, aunque las certificadoras no exigirán las modificaciones en ese tiempo, deberán confirmar que la organización está en proceso de adaptación.  

En cuanto a la fecha de publicación de la nueva ISO 27001, todavía se desconoce. Por tanto, si en tu organización estáis en proceso de certificación, o pensáis certificaros pronto, lo haréis sobre la estructura actual de la norma. Pero, es posible empezar a preparar los cambios, asegurando la implementación de los nuevos controles, de cara la formalización de la nueva 27001 (aunque todavía no son obligatorios). 

¿Necesitas asesoramiento en este sentido? ¡Podemos ayudarte! Contacta con nosotros. 

by