ISO 27001:2022: ¿Qué cambios introdujo el nuevo estándar de seguridad?
ISO 27001:2022: Principales cambios y su impacto en la seguridad de la información
La ISO 27001:2022 introduce una actualización clave en uno de los estándares internacionales más importantes para la gestión de la seguridad de la información. En un contexto marcado por nuevas amenazas, vulnerabilidades emergentes y factores externos como la transformación digital y los conflictos geopolíticos, esta nueva versión redefine la estructura y clasificación de los controles de seguridad. El objetivo es ayudar a las organizaciones a fortalecer sus Sistemas de Gestión de Seguridad de la Información (SGSI) y adaptarse a los desafíos actuales de la ciberseguridad.
¿Qué cambios presenta la versión 2022 de la ISO 27001?
Hacia finales de 2022 se publicó la ISO/IEC 27001:2022. Esta nueva versión de la ISO presenta cambios importantes en la cantidad y la forma de clasificar los controles de seguridad, además de modificaciones poco significativas en las cláusulas que definen los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Los detalles de la implementación de cada uno de los controles considerados en ISO/IEC 27001 se pueden encontrar en la versión más reciente de ISO/IEC 27002, documento conocido en versiones anteriores como “código de prácticas”, que continúa siendo una guía de implementación. Este último documento también fue actualizado durante 2022, cambiando de título a “Information security, cybersecurity and privacy protection — Information security controls”, junto con su estructura para utilizar una taxonomía simple. Además, algunos controles se fusionaron, algunos se eliminaron y otros nuevos se han agregado.
Vale la pena recordar que mientras que la ISO 27001 establece los objetivos que debe cumplir una organización para obtener la certificación, la ISO 27002 establece los controles que son necesarios para cumplir con los objetivos.
A partir de los cambios en ISO/IEC 27002:2022, a continuación, repasamos los cambios en el Anexo A de ISO/IEC 27001:2022.
Se destaca que estas nuevas versiones de los documentos consideran dos nuevos aspectos: temas y atributos. Los temas hacen referencia a la forma de categorizar los controles de seguridad, que podría equipararse a los dominios utilizados en las ediciones pasadas. De esta manera, es posible encontrar cuatro temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos hacen referencia a otra forma de clasificación basados en otras perspectivas o enfoques, de tal manera que los atributos puedan ser utilizados para filtrar, ordenar o presentar los diferentes controles para distintos tipos de audiencias.
Existen cinco tipos de atributos: basado en el tipo de control (preventivo, detectivo o correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (capacidades de seguridad desde la perspectiva de los profesionales o practicantes, como la gobernanza o seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).
Además, el nuevo estándar reduce a 93 el número de controles de seguridad. De este modo, es posible identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Destaca también que los objetivos de control, identificados como los enunciados que describen lo que se desea alcanzar como resultado de la implementación de controles, ya no son considerados en la nueva edición.
Imagen 1. Controles de seguridad en las versiones de ISO/IEC 27001.
La reducción en la cantidad de controles se debe a la reorganización y fusión de algunos de los mismos. En la ISO 27001:2022 se presentan 11 nuevos controles de seguridad que atienden las necesidades de protección para las tendencias y nuevos enfoques de ciberseguridad: inteligencia de amenazas, seguridad de la información para el uso de servicios en la nube, preparación de las TIC para la continuidad del negocio, monitoreo de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, actividades de monitoreo, filtrado Web y codificación segura.
Consideraciones en la selección e implementación de controles
Los controles de seguridad buscan reducir o modificar los riesgos asociados a la información y otros activos. Sin embargo, deben revisarse y actualizarse de forma continua, ya que no siempre generan el efecto esperado.
Las organizaciones no están obligadas a implementar todos los controles del estándar. La selección depende de la evaluación de riesgos. Cualquier control no aplicado debe documentarse y justificarse en la Declaración de Aplicabilidad (SoA).
Además, es posible complementar el estándar con otros marcos de seguridad. Las buenas prácticas deben adaptarse a las necesidades y características de cada organización.
ESET WeLive Security