ISO/IEC 27001 es la norma internacional para la seguridad de la información por excelencia. Se trata de un sistema de gestión de la seguridad de la información (SGSI). Al igual que lo hicimos con el nuevo ENS 2022, hoy venimos con la tan esperada actualización de la norma en ISO/IEC 27001:2022 , sobre la que veremos los principales cambios implementados.

Pero debemos empezar con algo en la cabeza: Lo primero que debemos hacer para la nueva versión de la ISO27001 es no asustarnos, ya que ha cambiado más bien poco.

Listado de cambios en la ISO/IEC 27001:2022

A continuación, intentaremos detallar los cambios en las distintas clausulas surgidas en esta actualización:

ISO/IEC 27001:2022 - Cláusula 4 : Contexto de la organización

  • Cláusula 4.1 - Entender la organización y su contexto : Sin cambio
  • Cláusula 4.2 - Comprender las necesidades y expectativas de las partes interesadas :No hay ningún cambio real en la cláusula 4.2 de ISO 27001 para la actualización de 2022. Se ha aclarado que ahora se determinará cuáles de los requisitos identificados se abordarán a través del sistema de gestión de la seguridad de la información en lugar de implicarlo.
  • Cláusula 4.3 - Determinación del alcance del sistema de gestión de la seguridad de la información: No hay un gran cambio en la cláusula 4.3 de la ISO 27001 en la actualización de 2022, ya que lo único que hace es eliminar la palabra "y" del 4.3 b.
  • Cláusula 4.4 - Sistema de gestión de la seguridad de la información: En esta actualización, se refieren a través de la norma a este "documento" en lugar de a esta "norma internacional". Sustituyendo las palabras "norma internacional" por la palabra "documento". Han añadido en la frase el término "incluyendo los procesos necesarios y sus interacciones" para dejar absolutamente claro que los procesos están incluidos, en lugar de darlo a entender. En esencia, no ha cambiado nada. Se trata de una aclaración de la redacción.

ISO/IEC 27001:2022 - Cláusula 5 : Liderazgo

  • Cláusula 5.1 - Liderazgo y compromiso : No cambia
  • Cláusula 5.2 - Política : No cambia
  • Cláusula 5.3 - Funciones, responsabilidades y autoridades de la organización : Los cambios en la cláusula 5.3 de la ISO 27001 para la actualización de 2022 son, en el mejor de los casos, menores. Se ha cambiado la palabra "norma internacional" por la palabra "documento" y se ha añadido la aclaración de que la comunicación se realiza dentro de la organización, como siempre se ha insinuado pero nunca se había dicho. Un cambio no muy importante.

ISO/IEC 27001:2022 - Cláusula 6 : Planificación

  • Cláusula 6.1 - Acciones para abordar los riesgos y las oportunidades : Sin cambios

- Cláusula 6.1.1 - Generalidades : La actualización fue para eliminar la palabra "y" de 6.1.1 b.

- Cláusula 6.1.2 - Evaluación del riesgo para la seguridad de la información : Sin cambios

- Cláusula 6.1.3 Tratamiento de los riesgos para la seguridad de la información : Los cambios en la cláusula 6.1.3 de ISO 27001 son menores pero importantes . Se ha cambiado la redacción de 6.1.3 c para que ahora se haga referencia al Anexo A como una lista de posibles controles de seguridad de la información. Esto es un cambio que contiene una lista completa de objetivos de control.

Se ha eliminado las frases que dicen que los objetivos de control están implícitamente incluidos en los controles elegidos.

Se ha cambiado que los objetivos de control que figuran en el Anexo A no son exhaustivos, pudiendo ser necesarios controles adicionales, a la redacción de Controles de Seguridad de la Información que figura en el Anexo.

Se ha cambiado la palabra objetivos de control por controles.

Se ha cambiado la frase de 6.1.3 d por una lista para facilitar la lectura

Se ha cambiado la palabra "norma internacional" por la palabra "documento".

En general se trata de cambios de aclaración.

  • Cláusula 6.2 - Objetivos de seguridad de la información y planificación para alcanzarlos : Ha sufrido cambios menores, centrándose los cambios en la claridad. Se introdujo que los objetivos de seguridad de la información deben ser supervisados y estar disponibles como información documentada. Siempre estuvo implícito, pero ahora se hace explícito. Como resultado, la numeración de las subpartes ha cambiado, pero esto no es importante.
  • Cláusula 6.3 - Planificación de los cambios : Cuando hagas cambios en el SGSI hazlo de forma planificada. Aunque entendiendo que siempre deberían ser planificados, ahora queda reflejado en la actualización 2022.

ISO/IEC 27001:2022 Clausula 7 : Soporte

  • Cláusula 7.1 - Recursos : Sin cambios
  • Cláusula 7.2 - Competencia : Sin cambios
  • Cláusula 7.3 - Concienciación : Sin cambios
  • Cláusula 7.4 - Comunicación : Hay cambios menores. Los cambios pueden considerarse una simplificación. Se elimina quién debe comunicar y se sustituye por cómo comunicar y se elimina por completo la necesidad de mostrar los procesos por los que se debe realizar la comunicación.
  • Cláusula 7.5 - Información documentada : Sin cambios

-Cláusula 7.5.1 - Generalidades : Hay una actualización general en toda la norma para sustituir las palabras "Norma Internacional" por la palabra "documento". Pero esto no es material, sino que se refiere a cómo la norma se refiere a sí misma en el texto.

-Cláusula 7.5.2 Creación y actualización : Sin cambios

-Cláusula 7.5.3 - Control de la información documentada : No hay cambios en la cláusula 7.5.3 de ISO 27001 en la actualización de 2022. Donde se hacía referencia a la "Norma Internacional" en referencia al documento se ha sustituido por la palabra "documento", como venimos comentando.

ISO/IEC 27001:2022 Clausula 8 : Operación

  • Cláusula 8.1 - Planificación y control de las operaciones : Son cambios de aclaración y nada importante. La redacción sobre la planificación y la implementación y el control de los procesos se amplía a la redacción más general de "cumplir con los requisitos" en lugar de antes, que era "cumplir con los requisitos de seguridad de la información". 

Ahora se habla de establecer criterios para los procesos e implementar el control de los procesos en línea con esos criterios. En lugar de mantener la información documentada se cambia a que la información documentada esté disponible. 

Los procesos subcontratados se "determinan y controlan" se cambia a "se controlan los procesos, productos o servicios proporcionados externamente que son relevantes para el sistema de gestión de la seguridad de la información."

  • Cláusula 8.2 - Evaluación de los riesgos para la seguridad de la información : Sin Cambios
  • Cláusula 8.3 - Tratamiento de los riesgos de la seguridad de la información : Sin Cambios

ISO/IEC 27001:2022 Cláusula 9 : Evaluación del desempeño

  • Cláusula 9.1 - Seguimiento, medición, análisis y evaluación : Hay cambios de aclaración. Se han eliminado las palabras sobre "la organización evalúa el rendimiento de la seguridad de la información y la eficacia del sistema de gestión". Estando cubiertas en mayor o menor grado en otras partes de la cláusula.

-El apartado 9.1 b se ha actualizado para orientar sobre los métodos de seguimiento, medición, análisis y evaluación y establece, que deben producir resultados comparables y reproducibles para ser considerados válidos. Esto era antes una nota a pie de página, por lo que no hay cambios importantes. 

-En el apartado 9.1 e se ha suprimido la palabra "y" sin apenas consecuencias.

-Se ha incluido el requisito de que la información documentada esté disponible para demostrar los resultados, convirtiéndolo en un requisito explícito en lugar de implícito. En lugar de conservar la documentación adecuada como prueba, la línea se ha sustituido por el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información. 

  • Cláusula 9.2 - Auditoría interna: Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a dos nuevas subcláusulas separadas:

-Cláusula 9.2.1 - Generalidades: NUEVA - No dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.

-Cláusula 9.2.2 - Programa de auditoría interna : NUEVO - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.

  • Cláusula 9.3 - Revisión de la gestión: Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a tres nuevas subcláusulas separadas.

-Cláusula 9.3.1 - Generalidades : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.

-Cláusula 9.3.2 - Aportaciones de la dirección : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.

-Cláusula 9.3.3 - Resultados de la revisión de la gestión : NUEVO - no dice nada nuevo, sólo separa la cláusula anterior para facilitar la lectura.

ISO/IEC 27001:2022 Cláusula 10 : Mejora

  • Cláusula 10.1 - Mejora continua : Sin cambios pero con numeración intercambiada
  • Cláusula 10.2 - No conformidad y acción correctiva : Sin cambios pero con numeración cambiada
  • Anexo A - Controles de seguridad de la información referencia ISO 27002: 2022 : Nueva versión del conjunto de controles

Anexo A : Nueva lista de los Controles ISO 27002:2022

No lo hemos visto en un post explícitamente, pero veamos los cambios significativos y nuevos puntos que nos trae la ISO 27002:2022 , alguno de ellos tan relevantes como el teletrabajo.

  • ISO 27002 - 5 : Controles organizativos

ISO 27002 - 5.1 : Políticas de seguridad de la información

ISO 27002 - 5.2 : Funciones y responsabilidades en materia de seguridad de la información

ISO 27002 - 5.3 : Segregación de funciones

ISO 27002 - 5.4 : Responsabilidades de la dirección

ISO 27002 - 5.5 : Contacto con las autoridades

ISO 27002 - 5.6 : Contacto con grupos de interés especial

ISO 27002 - 5.7 : Inteligencia de amenazas - NUEVO

ISO 27002 - 5.8 : Seguridad de la información en la gestión de proyectos

ISO 27002 - 5.9 : Inventario de la información y otros activos asociados - CAMBIOS

ISO 27002 - 5.10 : Uso aceptable de la información y otros activos asociados - CAMBIOS

ISO 27002 - 5.11 : Devolución de activos

ISO 27002 - 5.12 : Clasificación de la información

ISO 27002 - 5.13 : Etiquetado de la información

ISO 27002 - 5.14 : Transferencia de información

ISO 27002 - 5.15 : Control de acceso

ISO 27002 - 5.16 : Gestión de la identidad

ISO 27002 - 5.17 : Información de autenticación - NUEVO

ISO 27002 - 5.18 : Derechos de acceso - CAMBIOS

ISO 27002 - 5.19 : Seguridad de la información en las relaciones con los proveedores

ISO 27002 - 5.20 : Gestión de la seguridad de la información en los acuerdos con los proveedores

ISO 27002 - 5.21 : Gestión de la seguridad de la información en la cadena de suministro de las TIC - NUEVO

ISO 27002 - 5.22 : Monitoreo, revisión y gestión de cambios de los servicios de los proveedores - CAMBIOS

ISO 27002 - 5.23 : Seguridad de la información para el uso de servicios en la nube - NUEVO

ISO 27002 - 5.24 : Planificación y preparación de la gestión de incidentes de seguridad de la información - CAMBIOS

ISO 27002 - 5.25 : Evaluación y decisión sobre eventos de seguridad de la información

ISO 27002 - 5.26 : Respuesta a incidentes de seguridad de la información

ISO 27002 - 5.27 : Aprendizaje de los incidentes de seguridad de la información

ISO 27002 - 5.28 : Recogida de pruebas

ISO 27002 - 5.29 : Seguridad de la información durante la interrupción - CAMBIOS

ISO 27002 - 5.30 : Preparación de las TIC para la continuidad del negocio - NUEVO

ISO 27002 - 5.31 : Identificación de los requisitos legales, reglamentarios y contractuales

ISO 27002 - 5.32 : Derechos de propiedad intelectual

ISO 27002 - 5.33 : Protección de registros

ISO 27002 - 5.34 : Privacidad y protección de la información personal

ISO 27002 - 5.35 : Revisión independiente de la seguridad de la información

ISO 27002 - 5.36 : Cumplimiento de políticas y normas de seguridad de la información

ISO 27002 - 5.37 : Procedimientos operativos documentados

  • ISO 27002 - 6 : Controles de personas

ISO 27002 - 6.1 : Selección de personal

ISO 27002 - 6.2 : Términos y condiciones de empleo

ISO 27002 - 6.3 : Concienciación, educación y formación en materia de seguridad de la información

ISO 27002 - 6.4 : Proceso disciplinario

ISO 27002 - 6.5 : Responsabilidades después de la terminación o cambio de empleo

ISO 27002 - 6.6 : Acuerdos de confidencialidad o no divulgación

ISO 27002 - 6.7 : Trabajo a distancia - NUEVO

ISO 27002 - 6.8 : Reporte de eventos de seguridad de la información

  • ISO 27002 - 7 : Controles físicos

ISO 27002 - 7.1 : Perímetro de seguridad física

ISO 27002 - 7.2 : Controles físicos de entrada

ISO 27002 - 7.3 : Seguridad de oficinas, salas e instalaciones

ISO 27002 - 7.4 : Supervisión de la seguridad física

ISO 27002 - 7.5 : Protección contra amenazas físicas y ambientales

ISO 27002 - 7.6 : Trabajar en áreas seguras

ISO 27002 - 7.7 : Escritorio y pantalla despejados

ISO 27002 - 7.8 : Ubicación y protección de los equipos

ISO 27002 - 7.9 : Seguridad de los activos fuera de las instalaciones

ISO 27002 - 7.10 : Medios de almacenamiento - NUEVO

ISO 27002 - 7.11 : Servicios de apoyo

ISO 27002 - 7.12 : Seguridad del cableado

ISO 27002 - 7.13 : Mantenimiento de equipos

ISO 27002 - 7.14 : Seguridad en la eliminación o reutilización de equipos

  • ISO 27002 - 8 : Controles tecnológicos

ISO 27002 - 8.1 : Dispositivos de punto final del usuario - NUEVO

ISO 27002 - 8.2 : Derechos de acceso con privilegios

ISO 27002 - 8.3 : Restricción de acceso a la información

ISO 27002 - 8.4 : Acceso al código fuente

ISO 27002 - 8.5 : Autenticación segura

ISO 27002 - 8.6 : Gestión de la capacidad

ISO 27002 - 8.7 : Protección contra el malware

ISO 27002 - 8.8 : Gestión de las vulnerabilidades técnicas

ISO 27002 - 8.9 : Gestión de la configuración

ISO 27002 - 8.10 : Eliminación de información - NUEVO

ISO 27002 - 8.11 : Enmascaramiento de datos - NUEVO

ISO 27002 - 8.12 : Prevención de la fuga de datos - NUEVO

ISO 27002 - 8.13 : Copia de seguridad de la información

ISO 27002 - 8.14 : Redundancia de las instalaciones de procesamiento de la información

ISO 27002 - 8.15 : Registro de datos

ISO 27002 - 8.16 : Actividades de supervisión

ISO 27002 - 8.17 : Sincronización de relojes

ISO 27002 - 8.18 : Uso de programas de utilidad privilegiados

ISO 27002 - 8.19 : Instalación de software en sistemas operativos

ISO 27002 - 8.20 : Controles de red

ISO 27002 - 8.21 : Seguridad de los servicios de red

ISO 27002 - 8.22 : Filtrado web - NUEVO

ISO 27002 - 8.23 : Segregación en redes

ISO 27002 - 8.24 : Uso de criptografía

ISO 27002 - 8.25 : Ciclo de vida de desarrollo seguro

ISO 27002 - 8.26 : Requisitos de seguridad de las aplicaciones - NUEVO

ISO 27002 - 8.27 : Arquitectura de sistemas seguros y principios de ingeniería - NUEVO

ISO 27002 - 8.28 : Codificación segura

ISO 27002 - 8.29 : Pruebas de seguridad en el desarrollo y la aceptación

ISO 27002 - 8.30 : Desarrollo externalizado

ISO 27002 - 8.31 : Separación de los entornos de desarrollo, prueba y producción

ISO 27002 - 8.32 : Gestión del cambio

ISO 27002 - 8.33 : Información de pruebas

ISO 27002 - 8.34 : Protección de los sistemas de información durante la auditoría y las pruebas - NUEVO

Principales errores a la hora de abordar la nueva norma ISO27001

  1. Asumir que es diferente : Asumir que es muy diferente y entrar en pánico. Preocupar a la organización indebidamente y buscar un presupuesto amplio para algo que fundamentalmente no es diferente a lo que ya se tiene o en lo que ya se está trabajando.
  2. Pagar a consultores para que calculen el impacto : Pagar a consultores para que nos digan que no ha cambiado fundamentalmente nada cuando puedes comprar la norma tú mismo, leerla y llegar a esa conclusión en unos 15 minutos. O fiarte algo de mi 😀.
  3. No comprar ni leer la norma: Confiar en Internet y en los recursos gratuitos en lugar de conseguir una copia de la norma y leerla por sí mismo. Aunque te fíes algo de mi, es imprescindible que tengas la misma siempre a mano

Al igual que paso cuando salió la ISO27001:2022 y sobre la que podríamos dar varios tips:

  1. Fundamentalmente, no ha cambiado nada : La ISO27001:2022 es fundamentalmente la misma con pequeños cambios de redacción, un cambio de numeración en 2 controles y algunas aclaraciones.
  2. El cambio más importante es el de la norma ISO27002/Anexo A ( Que indicamos más arriba ) . El mayor cambio ya se produjo con el conjunto de controles cuando se actualizó la ISO27002 a la versión 2022.
  3. Se trata de una alineación de versiones : Como la norma no ha cambiado significativamente desde la versión de 2013, ya que el enfoque parece ser nombrar la norma seguida de un año, es un poco embarazoso que la gente esté trabajando con lo que parece ser una versión de 2013 de una norma de seguridad de la información, por lo que para hacerlo más relevante han cambiado el nombre a 2022. 😁

¿Cómo afecta esto a las organizaciones que están aplicando la norma ISO 27001 actualmente?

Es poco probable que los organismos de certificación ofrezcan la certificación de la norma ISO 27001:2022 hasta al menos seis meses después de la publicación de la norma ( hablamos aproximadamente de Abril 2023 ) , y la norma ISO 27001:2013 no se retirará hasta dentro de tres años ( Octubre 2025 ), por lo que no hay que preocuparse de que cualquier trabajo que hayamos realizado para implantar la norma ISO 27001:2013 se vea desperdiciado.

Dependiendo de lo que hayamos avanzado nuestro proyecto de implementación de ISO 27001:2013, es posible que deseemos utilizar los nuevos controles del Anexo A de ISO 27001:2022 como un conjunto de control alternativo, aunque todavía tendremos que compararlos con los controles del Anexo A de 2013 en nuestra declaración de aplicabilidad.

Antes de renovar nuestra certificación ISO 27001 después de tres años, deberemos realizar la transición de nuestro SGSI para cumplir con la iteración 2022 de la Norma.

Hay un período de transición de tres años para que las organizaciones certificadas revisen su sistema de gestión para ajustarse a la nueva versión de la norma ISO 27001, por lo que hay tiempo suficiente para realizar los cambios necesarios. Sin embargo, algunos organismos de certificación podrían dejar de ofrecer la certificación para la iteración de 2013 de la norma antes de ese momento, por lo que vale la pena comprobar si necesitamos hacer la transición antes.

No es aconsejable dejar para el último momento el cumplimiento de las nuevas obligaciones, por lo que si tenemos que renovar nuestra certificación durante el periodo de transición, podríamos trabajar ya contra el nuevo conjunto de controles. Una de las ventajas de implantar los nuevos controles es que, al ser identificables por atributos, es más fácil centrar nuestras selecciones, lo que podría reducir la carga de cumplimiento o ayudarnos a ver cómo integrar mejor nuestros procesos de seguridad, facilitando así la implantación y gestión del SGSI.

Conclusiones cobre la ISO 27001:2022

Ya lo hemos visto a lo largo del post, pero si tuviese que sacar una conclusión clara de la nueva norma, es que la misma no ha cambiado lo suficiente para alarmarnos con la misma.

Como hemos venido hablando, muchos de los cambios, son cambios menores, así como muchos cambios de redacción y aclaratorios, haciendo cambios explícitos en alguno de los casos, lo que nos facilita la labor al no dejarnos duda.

Ya tenemos todas nuestras "armas" actualizadas, tanto la ISO 27001:2022 como la ISO 27002:2022 y Anexos, así que ahora , ya solo es cuestión de ponernos y certificar nuestros sistemas.

Intentare traeros un posts en la que juntemos ENS e ISO 27002 , donde convergen muchos puntos, y en el que talvez, nos sea de ayuda, ya que nos vamos a certificar en uno de ellos, lanzarnos a por el otro.