Cambios en la nueva versión de la ISO/IEC 27001:2022

De -

 


Cambios en la nueva versión de la ISO/IEC 27001:2022

La nueva versión de la ISO/IEC 27001:2022 se publicará, según lo planeado, a principios de octubre de este año y esto ha despertado varias preguntas en el mercado:

¿Qué tan diferente será a la versión vigente de la Norma, que fue publicada en 2013 y cuáles serán los cambios?

¿Las organizaciones que quieren implementar un Sistema de Gestión de Seguridad de la Información deberían retrasar el inicio de un proyecto de implementación y certificación hasta que la nueva norma se publique?

El borrador más reciente de la nueva norma en su versión FDIS, así como las discusiones internas en el comité de Seguridad de la información, ciberseguridad y protección de la privacidad de ISO/IEC, indican que los cambios en ISO/IEC 27001 serán mínimos y de hecho podemos tener una ide muy clara sobre ellos.

Hay un par de cambios en la Cláusula 6 y en un par de notas, pero tienen un impacto mínimo en las estrategias de implementación y se pueden acomodar fácilmente en proyectos que comienzan antes de la publicación de ISO/IEC 27001:2022, ya que no implican nuevos requisitos para las organizaciones.

El cambio más significativo se encuentra en el Anexo A, que se reemplazará con los controles establecidos en la ISO/IEC 27002:2022, publicada a principios de este año y que incluye una restructura de los controles de seguridad de la información, agrupándolos en 4 grandes grupos: Controles organizacionales, controles de personal, controles físicos y controles tecnológicos. Esta nueva versión de la norma ISO/IEC 27002 también incorpora un nuevo concepto de atributos de control, que sirve para poder clasificar y reordenar los controles bajo distintas consideraciones. Por ejemplo, incluye atributos que son compatibles con la clasificación usada en la versión 2013 de la norma de dominios, objetivos de control y controles, pero también atributos para clasificar los controles según su aportación a la protección de la confidencialidad, integridad y disponibilidad; el momento en el que actúan siendo preventivos, detectivos o correctivos; o los elementos de los marcos de referencia de ciberseguridad: identificar, proteger, detectar, responder y recuperar. De hecho, invita a las organizaciones a crear sus propios atributos a la medida para adecuarlos a sus necesidades.

De esta manera, si tomamos los controles de la nueva versión de ISO/IEC 27002:2022 y con ellos sustituimos el Anexo A de la ISO/IEC 27001:2013, tendremos ya una versión muy cercana a la que se publicará este año de ISO/IEC 27001.

Es importante considerar los controles en el Anexo A no son requisitos de la norma; el requisito es que la organización lleve a cabo un análisis de riesgos para determinar los controles necesarios de acuerdo con el contexto organizacional. Esto puede alimentarse de distintas fuentes con controles derivados de temas regulatorios, contractuales, compromisos técnicos o controles actuales; para que posteriormente ese resultado sea comparado contra la lista de controles en el Anexo A, para evitar alguna omisión y justificar la exclusión de alguno que no sea aplicable a la organización por su estructura, tamaño, tecnología o actividades. De forma que si una organización ya cuenta con controles que cubren aquellos que menciona el Anexo A, puede llevarse a cabo un mapeo para darle trazabilidad a cada uno, aunque tengan nomenclaturas o estructura distintas.

 

¿Qué significa esto desde el punto de vista de la implementación? Significa que una organización puede seguir con su implementación de un sistema de gestión en cumplimiento con ISO/IEC 27001:2013, en el entendido de que la transición a ISO/IEC 27001:2022 requerirá un esfuerzo reducido, que puede apalancarse en las tablas de compatibilidad incluidas al final de ISO/IEC 27002:2022, que relacionan a los controles de la versión 2013 con los de la versión 2022, indicando los controles que fueron retomados y reagrupados de la versión anterior (que son la mayoría), los controles nuevos (12) y los controles eliminados (16).

PERO OJO, aquí les va una primicia: Está contemplado que haya un nuevo requisito en la nueva versión de ISO/IEC 27001:2022. Este será una nueva cláusula nombrada 6.3 Planificación de Cambios, que dice que cuando la organización determine que son necesarios cambios en el sistema de gestión de seguridad de la información, estos cambios deben llevarse acabo de una forma planificada.

Si bien esto es un nuevo requisito y una nueva cláusula, el impacto es menor, ya que en la versión 2013, existe un control en A.12.1.2 sobre Gestión de Cambios, que de una otra manera todas las organizaciones tendrán implementado, ya que no veo cómo alguien podría haberlo excluido en su Declaración de Aplicabilidad SoA. Así que será sencillo mapear al cumplimiento del nuevo requisito con las actividades diseñadas para implementar el control A.12.1.2 de la versión 2013.

¿Cómo será la transición para las organizaciones certificadas?

Las fechas de transición son dictadas por el Foro internacional de Acreditación (iaf.nu) y normalmente se establece un periodo de transición de 2 años, donde los organismos de certificación no deberán aceptar nuevas solicitudes en la versión 2013 de la norma 12 meses después de publicada la nueva versión (potencialmente octubre de 2023) y concluir con la transición de los clientes ya certificados antes de 24 meses después de la publicación de la norma (potencialmente octubre de 2024).

Esta transición podría ser tan simple como alinear su Declaración de Aplicabilidad (SoA) usando las tablas al final de la nueva versión de ISO/IEC 27002:2022, considerando los controles de la versión 2013 contra los controles de la versión 2022. Para concentrarse solamente en los 12 controles nuevos, que de hecho tienen alguna correspondencia con controles de la versión anterior.

Los organismos de acreditación tardarán unos seis meses en establecer un esquema de certificación ISO/IEC 27001:2022, y los organismos de certificación acreditados deberán capacitar a los auditores sobre el esquema actualizado. Luego iniciará el período de transición, lo que puede darnos un poco más de los 24 meses antes mencionados.

Por lo que, si sus planes son implementar un sistema de gestión de seguridad de la información basado en ISO/IEC 27001, mi recomendación es comenzar cuanto antes y buscar la certificación según sus planes, basado en la versión 2013 y comenzar con la transición lo antes posible, pero considerando que habrá aproximadamente dos años para terminarla.

Si bien la norma está en proceso de FDIS, lo que significa que puede sufrir algunos cambios, de existir serán solamente de forma y no de fondo.

 

Considerando el panorama actual en materia de ciberseguridad, en un mundo de cambios tecnológicos y organizacionales acelerados, y con incidentes frecuentes provocados por accidentes, cibercriminales y otros ataques, estamos en un buen momento para tomar la decisión de implementar y certificar un sistema de gestión de seguridad de la información basado en ISO/IEC 27001, que ayude a hacer frente y mantener orden ante los desafíos del mundo digital, la seguridad de la información y la protección de los datos personales, para lo cual hay otra norma que es ISO/IEC 27701, pero eso es otra historia.

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más