lunes, 14 de noviembre de 2022

Novedades en la actualización del Estándar ISO/IEC 27001:2022

En febrero de este 2022 fue publicada la actualización del Anexo A del Estándar de Seguridad de la Información ISO/IEC 27001:2013, conocida como ISO/IEC 27002:2022.

La publicación de la actualización de la norma ISO/IEC 27001:2022 se realizó el pasado 25 de octubre, con la finalidad de mantenerla alineada con los cambios introducidos por la norma ISO/IEC 27002:2022 y mejorar la comprensión y aplicación de la seguridad de la información en el contexto de la gestión de riesgos empresariales.

Con la actualización de la norma ISO/IEC 27001:2022 se mantiene la compatibilidad con la norma de calidad ISO 9001:2015 y la norma ISO 14001:2015, lo que significa que las empresas que ya implementan estas normas pueden integrar fácilmente la norma ISO 27001:2022 en sus sistemas de gestión.

De ahora en adelante, se simplificará la mención a los estándares ISO/IEC sólo por el número de dicho estándar con el objetivo de facilitar su lectura a lo largo de este artículo.

La 27001 se ha actualizado para tener en cuenta el cambio en el panorama de la seguridad de la información, en particular, el aumento de los ataques cibernéticos y la necesidad de proteger los datos.

La estructura principal de la 27001 no ha experimentado cambios organizativos. Se sigue disponiendo de las siguientes cláusulas:

  • Contexto de la organización,
  • Liderazgo,
  • Planificación,
  • Soporte,
  • Operación
  • Evaluación del cumplimiento y
  • Mejora.

Si bien la estructura general es la misma, la estructura y organización interna de los dominios sí que han sido modificadas en algunos puntos. A continuación, se muestra en detalle:

  • La estructura del punto 6 ahora se refleja en el índice. Sus requisitos quedan exactamente igual que la versión anterior, aunque mejor estructurados y definidos, en el caso del apartado 6.1.3.
  • Los apartados 9.2 y 9.3 se han desglosado en: 9.2.1 General, 9.2.2 Programa de AI (los contenidos son exactamente los mismos); 9.3.1 General, 9.3.2 Inputs de la revisión por la Dirección, 9.3.3 Resultados de la revisión por la Dirección.
  • El punto 10 se ha modificado el orden de sus dos controles, en la actualización primero se indica el control “Continual improvement”, y luego “Nonconformity and corrective actions”.
  • En el apartado 4.2 se añade la letra “C”, que considera que los requisitos relevantes identificados de las Partes Interesadas deberán ser abordados a través del ISMS.
  • En el apartado 6.2, se añade que los objetivos sean monitorizados (d) y disponibles como información documentada (g), para las acciones que ya se llevaban a cabo.
  • No se refleja en el índice, pero hay un nuevo “6.3 Planning of changes”, que determina que para una acción que ya se realizaba, los cambios deben ser implementados de forma planeada.
  • En el apartado 9.3.2, ligado con la letra “C” del 4.2, se añade: considerar las necesidades y expectativas de las Partes Interesadas en la revisión por la Dirección.
  • El Anexo A se ha adaptado a la nueva ISO 27002:2022.


Es por lo que los cambios más significativos en cuanto a contenido atienden a la actualización de los controles de seguridad enumerados en el Anexo A de la 27001 y que se corresponden con la 27002.

Tal y como se explicó en el artículo https://blog.isecauditors.com/2022/03/novedades-actualizacion-estandar-iso-iec27002-2022.html, la actualización de la 27002 también introduce una serie de cambios en la estructura y el formato de la norma, con el objetivo de mejorar su legibilidad y facilitar su comprensión.

Los hitos más destacados de dicha actualización son:

  • Actualización de las cláusulas para el uso de las TIC, alineadas con las tendencias actuales, como la inteligencia artificial, la nube, Threat intelligence, etc.
  • Se puede realizar una evaluación de riesgos de forma más eficiente y segura con la nueva orientación al ciclo de vida de los activos de la información.
  • Se pueden analizar de forma completa los sistemas de gestión de seguridad y las interrelaciones entre los sistemas.
  • Se hace mención a los requisitos de la Seguridad de la Información de las autoridades nacionales y a los requisitos de acceso a la información.
  • Se han añadido requisitos para la gestión de los activos de información para abordar el riesgo de pérdida de datos y la necesidad de proteger la información sensible.
  • Se hace mayor énfasis en el riesgo y la gestión del riesgo. Así como en la necesidad de adoptar un enfoque proactivo a la seguridad de la información, y en la necesidad de considerar la seguridad de la información en todos los aspectos de la gestión de la empresa.


A continuación, se muestra una tabla con el resumen de los cambios realizados en el Anexo de la 27001 del 2013 comparados con los actualizados en la 27001 del 2022:


POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1.2 Revisión de las políticas de seguridad de la información Fusionado dentro de 5.1
ORGANIZACIÓN DE LA INFORMACIÓN
NUEVO 5.7 Controles organizativos
GESTIÓN DE ACTIVOS
8.1.2 Propiedad de los activos Fusionado dentro de 5.9
8.2.3 Manipulación de los activos Fusionado dentro de 5.10
8.3.2 Eliminación de soportes Fusionado dentro de 7.10
8.3.3 Soportes físicos en tránsito Fusionado dentro de 7.10
CONTROL DE ACCESO
9.1.2 Acceso a redes y servicios de red Fusionado dentro de 5.15
9.2.5 Revisión de los derechos de acceso de los usuarios Fusionado dentro de 5.18
9.2.6 Retirada o adaptación de los derechos de acceso Fusionado dentro de 5.18
9.3.1 Uso de la información confidencial para la autenticación Fusionado dentro de 5.17
9.4.3 Sistema de gestión de contraseñas Fusionado dentro de 5.17
CRITOGRAFÍA
10.1.2 Gestión de claves Fusionado dentro de 10.1.1
SEGURIDAD FÍSICA Y AMBIENTAL
NUEVO 7.4 Controles físicos
11.1.6 Áreas de acceso público, carga y descarga Fusionado dentro de 11.1.2
11.2.5 Retirada de activos Fusionado dentro de 7.10
11.2.8 Equipos de usuario desatendidos Fusionado dentro de 8.1 con 6.2.1
SEGURIDAD DE LAS OPERACIONES
12.4.2 Protección de la información de registro Fusionado dentro de 8.1.5
12.4.3 Registros de actividad del administrador y operador del sistema Fusionado dentro de 8.1.5
NUEVO 8.16 Controles tecnológicos
NUEVO 8.9 Controles tecnológicos
NUEVO 8.10 Controles tecnológicos
NUEVO 8.11 Controles tecnológicos
NUEVO 8.12 Controles tecnológicos
12.6.2 Restricciones en la instalación de software Fusionado dentro de 12.5.1
SEGURIDAD DE LAS COMUNICACIONES
NUEVO 8.23 Controles tecnológicos
13.2.2 Acuerdos de intercambio de información Fusionado dentro de 5.14
13.2.3 Mensajería electrónica Fusionado dentro de 5.14
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
14.1.1 Análisis y especificación de los requisitos de seguridad de la información Fusionado dentro de 5.8 con 6.1.5
14.1.3 Protección de las transacciones por redes telemáticas Fusionado dentro de 8.26
14.2.2 Procedimientos de control de cambios en los sistemas Fusionado dentro de 8.32 con 12.1.2
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo Fusionado dentro de 8.32 con 12.1.2 / 14.2.2 / 14.2.4
14.2.4 Restricciones a los cambios en los paquetes de software Fusionado dentro de 8.32 con 12.1.2 / 14.2.2 / 14.2.4
14.2.6 Seguridad en entornos de desarrollo Fusionado dentro de 8.31 con 12.1.4
NUEVO 8.28 Controles tecnológicos
14.2.9 Pruebas de aceptación del sistema Fusionado dentro de 8.29 con 14.2.8
RELACIONES CON LOS PROVEEDORES
15.2.2 Gestión de los cambios en los servicios prestados por terceros Fusionado dentro de 5.22 con 15.2.1
NUEVO 5.23 Controles organizativos
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
16.1.3 Notificación de los puntos débiles de la seguridad de la información Fusionado dentro de 6.8 con 16.1.2
ASPECTOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CN
17.1.2 Implementación de la continuidad de la seguridad de la información Fusionado dentro de 5.29 con 17.1.1 / 17.1.3
17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información Fusionado dentro de 5.29 con 17.1.1 / 17.1.2
NUEVO 5.30 Controles organizativos
CUMPLIMIENTO
18.1.5 Regulación de los controles criptográficos Fusionado dentro de 5.31 con 18.1.1
18.2.3 Revisión del cumplimiento técnico Fusionado dentro de 5.36 con 18.2.2


Conclusión

La nueva versión de la norma 27001 ayuda a las organizaciones a administrar los controles de manera más efectiva al agruparlos en cuatro "temas" claros: organizacional, personal, tecnológico y físico. Este cambio clave tiene como objetivo lograr una mayor claridad, enfoque y responsabilidad por la seguridad de la información dentro de una organización.

También incorpora cambios significativos en la forma en que se debe aplicar la seguridad de la información en el contexto de la gestión de riesgos de la organización, así como en la forma en que se deben evaluar y medir los resultados de la implementación de la norma.

Los cambios principales de la 27001 se centran en:

  • La importancia de la gestión de riesgos en el contexto de la seguridad de la información.
  • El enfoque centrado en el negocio y la necesidad de implementar una cultura de seguridad de la información en toda la organización.
  • La importancia de la comunicación y la sensibilización en materia de seguridad de la información.
  • La necesidad de establecer un marco de gestión de seguridad de la información para garantizar que se cumplan los objetivos de seguridad de la información.


Los cambios realizados en la actualización de la 27001 permitirá a las organizaciones establecer un enfoque más estructurado y sistemático para la gestión de la seguridad de la información, lo que a su vez les permitirá mejorar la protección de sus activos y reducir el riesgo de un ataque. Con ello, también simplifica el proceso de implementación y hace que la norma sea más accesible para las organizaciones de todos los tamaños. Además, no se espera que haya cambios significativos en el proceso de certificación. 

Bibliografía


Autor: Javier Bravo - ISO 22301 L.A., SFPC, ITILF, AZ900
Dpto. Consultoría