Con el paso de los años, ha habido un cambio significativo en nuestra forma de trabajar y de entender las aplicaciones y la operatividad entre ellas. La COVID, las nuevas formas de trabajo o los nuevos entornos hacen que nos encontremos ante un panorama diferente en lo que se refiere a gestión diaria de la seguridad de la información.

Y ese, precisamente, es el objetivo de los cambios introducidos en la ISO 27001:2022 e ISO 27002:2022: adecuarse a este entorno nuevo, tanto en la parte de gestión diaria como en la aplicación de controles de seguridad.

ISO 27001:2022

La ISO 27001 es la norma internacional que, por excelencia, define los requisitos de gestión de la seguridad de la información. Antes de entrar en materia, hay que aclarar que los cambios en la nueva versión de este estándar no son muy sustanciales, pero, destacan algunos aspectos:

• Se deben determinar cuáles de los requisitos de las partes interesadas serán abordados a través del Sistema de Gestión de Seguridad de la Información.
• La organización debe establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta norma.
• Los objetivos en el SGSI deben estar monitorizados y tiene que estar disponible como información documentada.
• Cuando la organización determine la necesidad de realizar cambios en el SGSI, se deberán llevar a cabo de manera planificada.
• La comunicación con las partes interesadas se ha simplificado. Se han agrupado dos requisitos en uno más genérico y, de esta forma, hay un mayor margen de actuación a la hora de aplicar la norma.
• En el control operacional, se establecen criterios para los procesos y se implementarán los controles en base a ellos.
• La organización debe evaluar el desempeño de la seguridad de la información y la efectividad del Sistema de Gestión de Seguridad de la Información.
• Se debe garantizar que los procesos, productos o servicios proporcionados externamente, y que son relevantes para el SGSI, están controlados. El requisito incluye también productos y servicios contratados a proveedores externos.
• Se debe evaluar el desempeño de la seguridad de la información y la efectividad del Sistema de Gestión de Seguridad de la Información.
• En la revisión por dirección, se deberá prestar atención a los cambios en las necesidades y expectativas que son relevantes para el SGSI.

En este sentido, Pablo Zarco, el responsable del área de Procesos de Secure&IT apunta: “Como se puede observar, la ISO 27001:2022 no ha sufrido cambios muy sustanciales. No obstante, estas modificaciones nos harán revisar todos los procedimientos asociados con el objetivo de garantizar que, si algún punto queda pendiente, lo podamos incorporar en la medida y la forma en la que nos pide la nueva normativa”.

ISO 27002:2022

La ISO 27002 está ligada a la 27001; es un estándar de apoyo y respaldo. De hecho, incluye controles de seguridad técnicos y organizativos para implementar la 27001, que es la norma certificable. Es decir, la ISO 27001 proporciona el marco de requisitos para poder implementar un Sistema de Gestión de Seguridad de la Información y la 27002 los controles de seguridad que, a modo de recomendaciones, sustentarían este sistema.

¿Qué cambios son los más significativos?

• Cambio de nombre. Se ha cambiado el término “Código de prácticas” por el de “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”.
• Cambios en controles de seguridad. La versión 2013 contenía 114 controles divididos en 14 dominios. La versión actual contiene 93 controles divididos en cuatro grandes bloques: organizacionales (37 controles), de personal (8 controles), físicos (14 controles) y tecnológicos (34 controles). También se han añadido 11 controles nuevos y otros, de los existentes, se han agrupado o renombrado.
• Incorporación de nuevos elementos a nivel de control. En esta nueva versión se han añadido una serie de atributos a cada uno de los controles de la ISO 27002, con el objetivo de filtrar u ordenar los controles según su ámbito de aplicación o propósito: Tipo de control (preventivo, detectivo y correctivo); dimensiones de información involucrada (confidencialidad, integridad y disponibilidad); conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar); capacidades operativas (seguridad física, seguridad de sistemas y redes, seguridad de aplicaciones, configuración segura, gestión de identidad y acceso, gestión de amenazas y vulnerabilidades, continuidad, seguridad de relaciones con proveedores, cumplimiento y legal, gestión de eventos de seguridad de la información y garantía de seguridad de la información); dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).

Las empresas que estén certificadas en ISO 27001 deberán asegurar el cumplimiento de los nuevos controles y la reorganización los existentes, para adaptarse a la nueva 27002. En este sentido, será necesario que las organizaciones revisen el tratamiento de riesgos, alineen la lista de controles en la declaración de aplicabilidad (SOA) y actualicen las políticas y procedimientos. 

En cuanto a objetivos y plazos, estas son las fechas más significativas:

• Primeras fechas para evaluaciones en el nuevo estándar: se inició en noviembre de 2022. Actualmente continuamos con esta definición y se estima las primeras certificaciones para el mes de abril de 2023.
• Disponibilidad general de certificación: comprende el periodo de febrero a abril de 2023. En este periodo se está llevando a cabo el despliegue general de la norma.
• La última fecha para auditorías iniciales o recertificaciones de la versión de 2013 será abril de 2024. A partir de esta fecha no se podrá realizar ninguna auditoría más relacionada con la ISO 27002:2013. Tendrán que realizarse las de la nueva versión.
• La invalidación de todos los certificados de la versión 2013 se llevará a cabo en octubre de 2025.

Pablo Zarco: “Para la realización de todos estos cambios, las organizaciones cuentan con un periodo de transición, que suele ser de dos años. Pero, hay que tener en cuenta que, aunque las certificadoras no exigirán las modificaciones en ese tiempo, deberán confirmar que la organización está en proceso de adaptación a la nueva norma”.

by