Nueva versión ISO 27001: 2022. Principales cambios
Como ya hemos venido diciendo en anteriores artículos, la norma internacional ISO 27001 es un estándar emitido por la Organización ISO que define los requisitos de cómo gestionar la seguridad de la información en las organizaciones, con independencia de su tamaño, sector o actividad. Esta norma puede ser auditada y certificada por entidades de certificación, debidamente acreditadas. Su principal objetivo se centra en determinar las mejores prácticas en materia de seguridad de la información.
La norma se basa en que las empresas creen un Sistema de Gestión de Seguridad de la Información (SGSI), a partir del cual se articula toda la norma. En caso de que la organización disponga de otros sistemas de gestión, como, por ejemplo: calidad (ISO 9001), gestión medio ambiental (ISO 14001), o continuidad de negocio (ISO 22301), las organizaciones, de cara a optimizar la gestión de las distintas normativas tienden a integrar todos los sistemas de gestión entre sí, creando lo que se denomina SGI (Sistema de Gestión Integrado).
Esta norma al igual que otras ha sufrido diversos cambios a lo largo del tiempo. La primera versión como ISO 27001 data del 2005. Anteriormente tenía la nomenclatura de BS (British Standard). La primera versión cómo BS 7799-1, se publicó 1995. Posteriormente tuvo una segunda parte en 1998 (BS 7799-2). Ambas partes se revisaron primero en el año 1999 y luego en el año 2000, creando la ISO 17799.
El siguiente cambio de versión se produce en el año 2007, con la ISO 27001:2007. Con posterioridad la norma se vuelve a revisar en el año 2013, con el principal objetivo de alinear este marco con las cláusulas de otros sistemas de gestión, de forma que como hemos comentado anteriormente se posibilitase la integración con varios sistemas de gestión.
Finalmente, en octubre del 2022, se ha publicado la ISO 27001:2022, de la que a continuación vamos a reseñar los principales cambios con respecto a la versión del 2013.
En la norma ISO 27001 se distinguen dos partes claramente:
• Las cláusulas, donde se fijan los requerimientos del sistema de gestión de la seguridad de la información
• El anexo A que regula los controles en los diferentes ámbitos de seguridad de la información que contempla la norma.
Cambios en las cláusulas. ISO 27001:2022
Reseñar que los cambios que se han producido en el cuerpo de cláusulas de la ISO 27001, son muy poco relevantes, únicamente reseñar los siguientes:
• Se deben determinar qué requisitos de las partes interesadas se abordan a través del Sistema de Gestión de Seguridad de la Información.
• Hay que determinar las interacciones entre los procesos.
• Los objetivos en el SGSI tendrán que ser monitorizados y documentarse.
• Hay que planificar de forma más detallada los cambios en el SGSI.
• La comunicación con las partes interesadas se simplifica.
• En el control operacional se definirán los criterios necesarios para los procesos y cómo se implementará el control de éstos.
• Mayor exigencia de control en relación con los proveedores en relación con los productos y servicios que sean provistos por terceros.
• En la revisión por dirección hay que evaluar de forma más detallada que anteriormente, los cambios en las necesidades y expectativas de partes interesadas que sean relevantes para el SGSI.
Cambios en el Anexo A. ISO 27001:2022
La parte correspondiente a los controles del Anexo A, es la que sí que tiene unos cambios mucho más relevantes que los correspondientes a las cláusulas. De entrada, se pasa de 114 controles agrupados en 14 cláusulas a 93, agrupados en 4 cláusulas, integrando unos controles en otros.
Por otro lado, se plantean 11 nuevos controles, que detallamos a continuación:
• Inteligencia de amenazas (5.7). Deberemos ser capaces de recoger y analizar información sobre amenazas.
• Seguridad de la información en el uso de servicios en la nube (5.23). Este nuevo control, requiere que se desarrollen procedimientos específicos para los servicios que tenga la entidad en la nube, y de esta forma se diferencia de los controles A.15 de la versión 2013 sobre servicios prestados por terceros, para diferenciarlos explícitamente de los servicios en la nube.
• Continuidad de las TIC (5.30). En la versión del 2022 queda claramente enfocado este control a la continuidad de las TIC, dejando la continuidad del negocio para otros estándares como la ISO 22301. Así, este control se enfoca en la continuidad TIC, diferenciándola de la continuidad del negocio.
• Monitorización de la seguridad física (7.4). Será necesario implementar mecanismos de control de acceso que detecte si se producen accesos físicos no autorizados.
• Gestión de la configuración (8.9). Orientado esta control a su integración o gestión mediante la norma ISO 20000 o ITIL, ambos marcos específicos de gestión de servicios IT.
• Borrado de la información (8.10). Ligado al principio de la limitación del plazo de conservación de la información. Relacionado con los requerimientos del RGPD en este punto.
• Enmascaramiento de datos (8.11). Mediante técnicas de anonimización y pseudoanonimización para proteger la información en caso de fugas de información y brechas de seguridad que afecten principalmente a datos personales.
• Prevención de fuga de datos (8.12). Con la utilización de herramientas que detecten este tipo de fugas.
• Monitorización de actividades (8.16). Mediante sistemas SIEM.
• Filtrado web (8.23). Con este control, se pretende restringir la navegación de los usuarios, con el objetivo de reducir el riesgo de acceso a contenidos maliciosos que puedan provocar incidentes de seguridad.
• Control de codificación segura (8.28). Este control va más allá de las exigencias del control “política de desarrollo seguro” de la versión del 2013, requiriendo además de una política, que se implementen metodologías de desarrollo seguro.
.
Sigue Nuestras redes sociales y mantente enterado de la novedad del mundo documental:
