La ISO/IEC 27001 es una norma internacional ampliamente utilizada, más aún en el rubro de la tecnología de la información y las telecomunicaciones, pues proporciona los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información, que es un modelo orientado a preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos, otorgando a las partes interesadas confianza sobre la adecuada gestión de los riesgos.
Hasta la fecha se cuentan con tres versiones publicadas por la ISO, reconocidas según su año de publicación: ISO/IEC 27001: 2005, ISO/IEC 27001: 2013 e ISO/IEC 27001: 2022, siendo esta última la vigente actualmente. Cada revisión ha traído consigo cambios significativos para el campo de la seguridad de la información, con el fin de ser oportunos a los avances de la tecnología de la información, y sus amenazas, que evolucionan aceleradamente.
A continuación, les presentamos los cambios de la ISO/IEC 27001 que, a nuestro criterio, fueron relevantes en el 2022:
| 2013 | 2022 |
| Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos | Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de seguridad de la información — Requisitos |
Aunque pueda parecer poco relevante, el cambio en el título de esta norma busca establecer una relación inequívoca entre este estándar, la seguridad de la información, la ciberseguridad y la protección de la privacidad. Y es que el campo de la seguridad de la información comprende la preservación de la confidencialidad, integridad y disponibilidad de la información en todos los ámbitos, incluyendo las redes lógicas y programas de todos los tamaños y alcances, y de cualquier tipo, como la información privada y los datos de carácter personal.
4.2 Partes interesadas
| 2013 | 2022 |
| La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; y b) los requisitos de estas partes interesadas que son relevantes para la seguridad de la información. | La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; b) los requisitos de estas partes interesadas que son relevantes para la seguridad de la información. c) Cuales de estos requisitos se abordarán a través del sistema de gestión de seguridad de la información |
En este apartado se agregó un numeral más, el 4.2 c), que solicita que la organización determine los requisitos de las partes interesadas que van a ser abordados o atendidos debido a su relevancia para el sistema de gestión (como requisitos del cliente) y para la seguridad de la información (como requisitos de estándares de seguridad o requisitos legales). De esta manera, desde la planificación del sistema, se reconoce la necesidad de su cumplimiento y se crea un compromiso con ello.
4.4 Sistema de gestión de seguridad de la información
| 2013 | 2022 |
| La organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de seguridad de la información, de acuerdo con los requisitos de esta norma internacional | La organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de seguridad de la información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta norma internacional |
Este cambio presenta la necesidad de establecer procesos, junto con sus interacciones, para gestionar la seguridad de la información en la organización. El enfoque a procesos contribuye con la obtención de resultados coherentes y previsibles de manera más eficaz y eficiente, debido a que se enfocan esfuerzos y recursos particulares a actividades con los mismos propósitos y objetivos.
6.1.3 Tratamiento de los riesgos de seguridad de la información
| 2013 | 2022 |
| d) elaborar una “Declaración de Aplicabilidad” que contenga los controles necesarios (véanse los puntos 6.1.3 b) y c)) y la justificación de las inclusiones, estén implementadas o no, y la justificación de las exclusiones de los controles del anexo A; | d) elaborar una Declaración de Aplicabilidad que contenga: — los controles necesarios (ver 6.1.3 b) y c)); — la justificación de las inclusiones; — si se implementan o no los controles necesarios; y — la justificación de las exclusiones de los controles del Anexo A. |
En este cambio se mantuvo la corregenda del año 2017 que tuvo la norma, la cual requiere declarar el estado de implementación de los controles aplicables en la organización. Este requisito es de gran utilidad pues ayuda a reconocer el avance de la empresa en la ejecución de los controles de seguridad de la información, lo cual puede ser parte de la medición del desempeño de la gestión de seguridad de la información.
6.2 Objetivos de seguridad de la información y planificación para su consecución
| 2013 | 2022 |
| La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de la información deben: a) ser coherentes con la política de seguridad de la información; b) ser medibles (si es posible); c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos; d) ser comunicados; y e) ser actualizados, según sea apropiado. | La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de la información deben: a) ser coherentes con la política de seguridad de la información; b) ser medibles (si es posible); c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos; d) ser monitoreados e) ser comunicados; y f) ser actualizados, según sea apropiado. g) Estar disponibles como información documentada |
Este apartado incluye dos nuevos requisitos: monitoreo de objetivos y su documentación. El monitoreo de objetivos permite reconocer el comportamiento de los resultados en un periodo de tiempo, lo que pude anticipar acciones de mejora que garanticen su eficacia. Por otro lado, mantener información documentada de los objetivos facilita su comprensión, aplicación y evolución en el tiempo.
6.3 Planificación de los cambios
| 2013 | 2022 |
| Cuando la organización determine la necesidad de cambios en el sistema de gestión de la seguridad de la información a, los cambios se deben llevar a cabo de manera planificada. |
La planificación de los cambios es un nuevo requisito de esta norma, alineándose así con otras normas ISO de sistemas de gestión que también lo establecían. Un cambio cuyos resultados han sido establecidos, sus recursos definidos y su seguimiento proyectado, puede conseguir resultados más eficaces y eficientes que un cambio que no presente esta información previamente a su ejecución.
8.1 Planificación y control operacional
| 2013 | 2022 |
| La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para implementar las acciones determinadas en el apartado 6.1. La organización debe implementar también planes para alcanzar los objetivos de seguridad de la información determinados en el apartado 6.2. | La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para implementar las acciones determinadas en la clausula 6, mediante: — el establecimiento de criterios para los procesos; — la implementación del control de los procesos de acuerdo con los criterios |
Un control de procesos con base en criterios permite reconocer cuándo un proceso está logrando un desempeño y/o resultados aceptables, lo que facilita la aplicación de acciones de mejora pertinentes. Incluir estos factores previenen desviaciones no deseadas, y contribuye a la eficacia y eficiencia del sistema.
Controles de seguridad de la información
| 2013 | 2022 |
| 114 controles en 14 clausulas (dominios) y 35 objetivos de control | 93 controles en 4 campos: 58 controles actualizados 11 controles nuevos 24 controles provienen de la fusión de otros controles (los 56 restantes) |
Los cuales se pueden ver a detalle en el anexo B, tabla B1, de la ISO/IEC 27002: 2022
Además de estos, la norma en su versión 2022 presentó cambios en apartados como 7.4 Comunicación, 9.2 Auditoría, 9.3 Revisión por la dirección y en el capítulo 10 Mejora, que podemos analizar en futuras publicaciones de GACS.
0 comentarios