Principales cambios de la norma ISO/IEC 27001

19/01/2023

Carlos Toledo

Carlos Toledo

El pasado 25 de octubre de 2022 se publicó la actualización de la norma ISO/IEC 27001:2022 del Sistema de gestión de seguridad de la información (SGSI).

La transición para migrar a esta nueva versión, al igual que las demás normas de gestión ISO, tendrá una duración de 3 años. Antes de explicar estos cambios, haremos un repaso de lo que significa esta norma de gestión.

La norma ISO/IEC 27001 proporciona los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de seguridad de la información teniendo como principal enfoque la preservación de la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD de la información; por esto es importante que la gestión de seguridad de información se encuentre alineada con la estrategia del negocio y sus objetivos.

Como ya es usual en las demás normas de gestión, la ISO/IEC 27001 forma parte de una familia de normas. Así tenemos como principales la ISO 27000, que precisa las definiciones de la norma, luego la ISO 27001 que especifica los requisitos para implementar, operar mantener y mejorar nuestro SGSI, y la ISO 27002 que contiene las mejores prácticas en forma de controles que se pueden implementar para mejorar la norma.

Podemos destacar como principal novedad su enfoque menos restrictivo y su orientación a ser una guía para la toma de decisiones basadas en riesgos. Otra novedad a destacar es que se simplificaron los controles y se encuentra una mayor concordancia entre la actualización de las normas 27000 y 27002.

A continuación, revisemos los principales cambios en la norma:

1. Cambio de nombre a ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Esta norma es menos restrictiva que la anterior porque se centra en manejo de riesgos de forma preventiva donde se deberán tomar las decisiones en función al mapeo de riesgos.

2. Se actualiza el capítulo 6 que refiere a “Acciones para tratar riesgos y oportunidades” el cual se encuentra más acorde a la norma ISO 31000. Se introducen nuevas claúsulas en numeral 6.3 para la gestión de cambios.

3. En el capítulo 9 se subdivide el numeral 9.2 Programa general de auditorías, el cual derivó en: 9.2.1 Generalidades de auditoría y 9.2.2 Pautas para el programa de auditoría. También se subdividen el numeral 9.3 Revisión de la dirección; se divide a: 9.3.1 las generalidades, 9.3.2 Entrada de todos los requisitos para presentar a la dirección y 9.3.3 la salida de la revisión por la dirección. Muy similar a la ISO 9001 vigente.

4. En el capítulo 10 se intercambia el orden de 2 sub cláusulas 10.1 Mejora continua y 10.2 No conformidad y acción correctiva. Sin embargo, no tienen cambios internos en las cláusulas.

5. Se mejora la redacción de los numerales 4.2 Partes Interesadas, 4.3 Alcance y 6.1.3 Tratamientos de riesgos. En este último se menciona como se previenen, como se deben tratar y como evitar que se materialice los riesgos.

6. Actualización de anexo A donde se simplifican los controles y es más sencillo de entender, todo con el fin de tener coherencia con la nueva versión de la norma ISO 27002:2021, ISO 27002:2021, publicada el 16 de febrero de 2022. De 18 cláusulas pasó a 8 cláusulas.

Veamos el cambio:
Anterior: 14 dominios – 35 objetivos de control y 114 controles.
Actualización: Paso a tener 4 temas que unificaron los dominios.

*Sobre los 93 controles actuales tenemos: 58 controles actualizados, 24 control que representación la fusión de controles anteriores y se incluyen 11 nuevos controles:  

  1. Inteligencia de amenazas (A.5.7).
  2. Seguridad de la información en la nube (A.5.23).
  3. Continuidad de negocio (A.5.30).
  4. Seguridad física y su supervisión (A.7.4).
  5. Gestión de la configuración (A.8.9).
  6. Eliminación de información (A.8.10).
  7. Encriptación de datos (A.8.11).
  8. Prevención y fuga de datos (A.8.12).
  9. Actividades de monitoreo (A.8.16).
  10. Filtrado web (A.8.23).
  11. Codificación segura (A.8.28).

Como se esperaba el cambio más significativo fue en el Anexo A, el cual se encontraría más consistente en los controles de seguridad de la información y mejor alineado a las actualizaciones que tuvieron las normas 27000 y 27002.
Los cambios de las cláusulas de 4-10 se encuentra alineadas bajo una estructura de alto nivel, esto es igual a las demás normas ISO. Esto ayudaría a que la empresa pueda complementar o integrar las diferentes normas entre sí de forma más armonizada y ágil.
También observamos que para aquellas empresas que cuenta con esta certificación ISO 27001, sería más amigable la transición de actualización de la norma debido a la reducción de controles y ser menos restrictiva. No olvidemos la importancia sobre la implementación de mapeo de riesgos y su respectiva gestión.

Como parte ya de un lineamiento entre casas certificadoras del Foro Internacional de Acreditación (IAF, por sus siglas en inglés), la transición entre ISO/IEC 27001: 2013 y la versión del 2022 tendrá una duración de 3 años. Esto quiere decir que las organizaciones que ya cuentan con un sistema de gestión ISO 27001 certificado, tienen hasta octubre del 2025 para adecuar su sistema a los nuevos requerimientos.

Comparte este artículo