La nueva versión de ISO/IEC 27001 de Gestión de Seguridad de la Información se publicó el pasado 25 de octubre de 2022.
Su anterior versión data del año 2013. Nueve años en los que nuestra forma de vivir y trabajar han cambiado, especialmente desde la pandemia, aceptando nuevas maneras de trabajar las cuáles han tenido un impacto positivo gracias, entre otros, al trabajo remoto y la democratización de la nube.
Pero, esta nueva “manera de vivir” ha traído también nuevos riesgos. Ahora el perímetro de seguridad de nuestras empresas se ha extendido a los hogares de las personas que trabajan en ellas, por lo que nuestros Sistemas de Gestión de Seguridad de la Información, SGSI, deben tener en cuenta estos riesgos.
Por otro lado, la industria de la ciberseguridad ha cambiado vertiginosamente en esta última década. Actualmente existen conceptos y herramientas indispensables que hace nueve años no eran relevantes.
Además, otros de los aspectos importantes ha sido la evolución de las normas ISO desde la publicación del Anexo SL en 2012. Aunque ISO 27001:2013 ya nació bajo la estructura de alto nivel de ISO, las normas ISO han evolucionado en este tiempo en claridad y simplicidad y su rodaje en las empresas nos han aportado un conjunto de mejores prácticas a aplicar en el desarrollo de nuevos estándares.
La nueva versión de ISO 27001 está acompañada de un documento muy relevante que es el Anexo A. El Anexo A es un documento normativo que sirve como guía para implementar los controles de seguridad específicos de ISO 27001. La norma ISO 27002, que ya tiene su versión de 2022, desarrolla la guía de implementación de este Anexo.
En este artículo, vamos a revisar los cambios en dos partes. Por un lado los cambios del cuerpo de la ISO 27001:2022 y por otro los cambios en el Anexo A, y por lo tanto en los controles a aplicar el el SGSI.
Por último, aunque todavía es pronto, revisaremos las fechas de transición a la nueva versión.
Cambios en el cuerpo de la ISO 27001:2022.
No son muy significativos. Pasamos a enumerar los principales.
- Reestructuración de la numeración para acercarla a la estructura de alto nivel.
- En la cláusula 4.4. hay un requisito explícito para definir los procesos y sus interacciones. Esto lo alinea con las mejores prácticas de los sistemas de gestión que indican que estos deben de construirse alrededor de los procesos y de sus interacciones.
- En la cláusula 5.3. se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
- Respecto de la cláusula 6.2. ISO 27001 hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
- La cláusula 6.3. nos indica que hay que planificar los cambios del sistema de gestión y que estos se realicen de manera controlada, existiendo un plan de cómo estos se van a implementar y validar.
- En la sección 8 se vuelve a insistir en la gestión por procesos del sistema de gestión de seguridad de la información. En la cláusula 8.1. especifica: “establecer criterios para los procesos y aplicar el control de los mismos.”
- En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.
Como vemos los cambios en el cuerpo de la nueva versión ISO 27001 son menores, haciendo especialmente hincapié en que los procesos estén claramente definidos junto con sus interacciones. Los cambios más importantes se encuentran dentro del Anexo A y de la ISO/IEC ISO 27002 que desarrollan los controles a aplicar.
Cambios en el Anexo A.
Los controles del Anexo A como sabemos no son obligatorios, ya que no todos aplican a todas las organizaciones.
Eso sí, en la Declaración de Aplicabilidad (SOA) debemos de justificar el porqué no nos aplican. Estos controles se derivan de la norma ISO 27002:2022, que ya se publicó el pasado 15 de febrero, y que incluye orientaciones para la implementación de los mismos.
Para esta nueva versión hay 93 controles los cuáles están organizados en 4 grupos, versus los 114 controles organizados en 14 categorías de la versión de 2013.
Ha habido una reestructuración, racionalización, reagrupación de controles con el objetivo de minimizar los controles y agruparlos de una forma más lógica y fácil de entender.
Hay un total de 11 nuevos controles, 24 se han fusionado y un total de 58 han sido revisados. 35 controles se mantienen sin cambios.
- Controles organizacionales
- Personas
- Controles físicos
- Controles tecnológicos
Controles
En ISO 27002 cada control se presenta con una tabla de 5 atributos que pueden ayudarnos significativamente en la categorización y en el monitoreo de los mismos. Estos aparecen presentados como tabla y clasifica cada control según.
- Tipo de control: Evalúa cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los controles pueden clasificarse como preventivos, correctivos o predictivos.
- Las propiedades de la seguridad de la información: Identifica qué característica de la información contribuirá a preservar el control. Estas son Confidencialidad, Integridad y/o Disponibilidad.
- Conceptos de ciberseguridad: Asocian los controles a los conceptos de ciberseguridad descritos en ISO/IEC TS 27110 y usados en otros marcos de trabajo como NIST-Cibersecurity Framework: Identificar, Proteger, Detectar, Responder y Recuperar.
- Capacidad operativa: atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información: Gobernanza, Gestión de Activos, Protección de la Información,
- Dominios de Seguridad: atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información: Gobernanza y ecosistema, Protección, Defensa, Resiliencia.
- Controles organizacionales: 37 controles, de los cuáles 34 son existentes y 3 nuevos.
- Controles de personas: 8 controles, todos existentes.
- Controles físicos: 14 controles, 13 existentes y 1 nuevo.
- Controles tecnológicos: 34 controles, 27 controles existentes y 7 nuevos.
Proceso de transición
Respecto de la transición a la nueva versión ISO 27001 como siempre se establecen una serie de etapas:
- La norma ha sido publicada el 25 de octubre de 2022.
- Todas las entidades de certificación deben de pasar por un proceso de acreditación bajo la nueva versión del estándar, por lo que hasta que éstas no estén preparadas, no podremos certificar nuestro SGSI bajo ISO 27001:2022. Se estima que las certificadoras estén listas a partir del primer trimestre de 2023.
- Las empresas podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de abril de 2024 (dieciocho meses después de la publicación de la nueva versión)
- Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025 (tres años después de la publicación de la nueva versión).
Las auditorías de transición se focalizarán en:
- Análisis de brechas de seguridad de ISO/IEC 27001:2022, y la necesidad de cambios en el SGSI del cliente.
- La actualización de la declaración de aplicabilidad (SOA).
- La actualización del plan de tratamiento de riesgos, si aplica.
- La implementación y la efectividad de los nuevos controles y las modificaciones introducidas por la organización.
Como hemos visto el impacto de los cambios se centra fundamentalmente en los requisitos del Anexo A.
¿Cómo podemos ayudarte desde Ingertec en este proceso?
- Si vas a comenzar un proceso de certificación o estás es un estadío inicial, en función de tus objetivos, estudiaremos en cada caso si realizar una certificación inicial bajo la versión de 2022 o 2013.
- Si tu empresa ya está certificada, comenzaremos un proceso de transición, planificando en cuál de las auditorías anuales enfrentaremos el cambio, sobre todo teniendo en cuenta el qué periodo del ciclo nos encontramos (si es una auditoría de seguimiento o de renovación).