Transcurrida casi una década desde la última actualización de ISO 27001 y tras la reciente revisión de la guía de controles de seguridad de la información ISO 27002, se espera la nueva versión de la norma para octubre de 2022.
Así, con vistas a la próxima actualización de ISO 27001, los profesionales en el área, expertos en TI, organizaciones y otras partes interesadas deben prepararse para renovar y poner al día los Sistemas de Gestión de Seguridad de la Información.
Si te preguntas cuáles serán los cambios que introducirá la versión final de la actualización de ISO 27001 y cómo se relacionan con ISO 27002, a continuación, respondemos a las preguntas más frecuentes.
Actualización de ISO 27001 – 10 preguntas frecuentes
Antes de comenzar con el listado de preguntas y respuestas, es conveniente conocer las diferencias entre ISO 27001 e ISO 27002.
ISO 27001 es un estándar para la seguridad de la información reconocido a nivel global, certificable y que ayuda a las organizaciones a identificar, evaluar, mitigar y gestionar los riesgos relacionados con la gestión de la información y los activos corporativos.
Por su parte, ISO 27002 es un conjunto de pautas o controles -no certificable-, diseñados para facilitar la implementación de las mejores prácticas de seguridad de la información en el sistema de gestión corporativo.
A partir de esta diferenciación, hemos recopilado las 10 preguntas más comunes que hoy se hace cualquier persona con algún interés en la actualización de ISO 27001 y la Seguridad de la Información. Estas son:
1. ¿Qué cambiará exactamente con la actualización de ISO 27001 en 2022?
Es probable que se realicen algunos cambios semánticos en las cláusulas medulares del estándar, que van desde la 4 hasta la 10, pero ninguna modificación estructural. Eso incluye requisitos de alcance, partes interesadas, contexto, políticas, gestión de riesgos, recursos, capacitación, concienciación, comunicación, gestión de documentos, monitoreo y medición, auditoría del sistema, revisión, acciones correctivas y mejora continua.
Los controles de seguridad que forman parte del Anexo A sí serán objeto de actualización, para que concuerden con la revisión de ISO 27002 en febrero de 2022. En general, se tratará de modificaciones moderadas, con el ánimo de facilitar la implementación de controles que, entre otras cosas, pasan de 114 a solo 93.
Los controles, además, se clasificarán en 4 secciones, en lugar de las 14 actuales. Aunque el número de controles disminuye, se incorporan 11 nuevos, ya que muchos fueron fusionados.
2. ¿Cuándo se producirán los cambios?
No hay aún una fecha definida, pero se trabaja para que sea en octubre de este año 2022. De cualquier manera, ISO tiene como objetivo dejar definido este tema durante año, aunque sea el último día del mes de diciembre. Así es que, entre octubre y diciembre se puede esperar la actualización de ISO 27001.
3. ¿Las organizaciones que inician hoy la implementación de ISO 27001 deberían esperar la actualización?
Deberían avanzar en temas que serán indispensables para una u otra edición: contexto, partes interesadas, gestión de riesgos informáticos, políticas… Pero la etapa final, incluida la certificación, es posible que coincida con la nueva publicación.
Es importante aclarar que las organizaciones que se certifiquen hoy, y hasta que se produzca formalmente la actualización de ISO 27001, no tendrán problemas con su certificación y esta tendrá validez de tres años.
4. ¿Las organizaciones que recién se certificaron o recertificaron tienen que hacer algo?
Sí. Las organizaciones tendrán un plazo de dos años para acoger los cambios e implementarlos, especialmente en lo relacionado con los controles que tiene un impacto directo en gestión de riesgos.
5. ¿Cuáles son los cambios exactamente en cuanto a controles?
Los controles se prevé que sean 93, en lugar de los 114 de la versión de 2013. Estos se agruparían en cuatro secciones, en lugar de las 14 anteriores, así:
- Personas (8 controles).
- Organizacional (37 controles).
- Tecnológicos (34 controles).
- Físicos (14 controles).
A pesar de que el número de controles disminuye, en la práctica no se ha eliminado ninguno, y por el contrario aparecen once nuevos:
- Inteligencia de amenazas.
- Seguridad de la información para servicios en la nube.
- Preparación de las TI para continuidad del negocio.
- Monitoreo y supervisión de la seguridad física.
- Gestión de configuración.
- Eliminación de la información.
- Enmascaramiento de datos.
- Prevención de fuga de datos.
- Actividades de seguimiento.
- Filtrado web.
- Codificación segura.
Finalmente, se han definido atributos que facilitan la categorización de los controles, así:
- De acuerdo con el tipo (preventivos, detectivos o correctivos).
- De acuerdo con las propiedades (confidencialidad, integridad, disponibilidad).
- De acuerdo con los conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar).
- De acuerdo con la capacidad operativa (gobernanza, gestión de activos).
- De acuerdo con los dominios de seguridad (gobernanza y ecosistema, protección, defensa, resiliencia).
6. ¿Cómo se verán afectadas las organizaciones que ya han implementado ISO 27001?
La actualización de ISO 27001 implica que las organizaciones que ya han concluido su implementación, o incluso han certificado sus Sistemas de Gestión, deberán revisar su Declaración de Aplicabilidad y ajustarla a la nueva estructura de controles. Esto tiene un impacto directo sobre la gestión de riesgos, que también debe adaptarse a los nuevos controles. Si bien, estas organizaciones tienen un plazo de dos años para realizar los ajustes y obtener nuevamente la certificación de ISO 27001.
7. ¿Será necesario realizar cambios en la documentación?
Las organizaciones que ya han implementado el Sistema de Gestión, y lo han certificado, sí tendrán que hacer ajustes a su documentación, y para ello tendrán el periodo de transición de dos años. Es importante saber que, durante las auditorías regulares, los auditores comprobarán que la organización ha adaptado los documentos, que se conservó la debida trazabilidad y se siguieron los procedimientos indicados para la creación, aprobación y comunicación de nuevos documentos, así como el almacenamiento seguro de los documentos modificados.
8. ¿Será preciso proceder a la actualización de ISO 27001 y también de ISO 27002?
Es importante entender que ISO 27002 no es un estándar certificable, y que solo apoya y respalda lo solicitado por ISO 27001. Por otra parte, ISO 27002 ya fue objeto de algunas modificaciones en febrero de 2022 y no es absolutamente seguro que ISO publique más modificaciones a este código de práctica.
Como un manual de procedimiento es entendible que no solicite requisitos ni exija documentación. Así es que no es razonable pensar que con la actualización de ISO 27001 se introduzcan nuevos cambios en ISO 27002.
9. ¿Los cambios en ISO 27001 afectarán el cumplimiento de GDPR?
No. La ISO 27001 actual, y su revisión esperada para antes de que termine este año, son herramientas valiosas para la protección de los datos y de la información, y para preservar su integridad y su confidencialidad. Sobre este tema no habrá ninguna modificación.
10. ¿Cómo pueden las organizaciones potenciar el beneficio que ofrece la actualización de ISO 27001?
ISO 27001 es un estándar que ha proporcionado grandes ventajas comparativas a miles de organizaciones en el mundo. En Europa en particular, muchas agradecen la ayuda que el estándar ofrece para el cumplimiento de GDPR.
Con la actualización, ISO envía un mensaje claro: ISO 27001 tiene aún mucho para ofrecer a todo tipo de organizaciones, y aquellas que elijan el camino de la transformación digital y de la automatización de sus Sistemas de Gestión, tendrán una mayor oportunidad para aprovechar el potencial del nuevo estándar.
La digitalización de Sistemas de Gestión es un componente importante para el éxito de la gestión. Pero la formación y el conocimiento también lo serán.
Diplomado en Seguridad de la Información ISO/IEC 27001
La seguridad de la Información es un área que siempre propone nuevos desafíos. El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de excelencia diseñado para que los profesionales en este campo siempre estén a la vanguardia y puedan liderar la implementación, mantenimiento, certificación y auditoría de un Sistema de Gestión de Seguridad de la Información basado en ISO 27001.
Con la actualización de ISO 27001, este Diplomado se hace aún más necesario, ya que sus contenidos abordarán estas novedades y el impacto que tienen en la organización. Lidera el área más interesante en tu organización e impulsa tu carrera hacia el futuro. Empieza aquí.