ISO 27001 es el estándar internacional para la gestión de la seguridad de la información. Las organizaciones que lo han implementado deben ahora emprender la transición a ISO 27001:2022 a raíz de la actualización de la norma, publicada por ISO al finalizar el año 2022.
La seguridad de la información es un tema prioritario en la agenda de la Alta Dirección de organizaciones de todos los tamaños y sectores. La transición a ISO 27001:2022 ayuda a las empresas a enfrentar los desafíos que representa un marco regulatorio estricto, las amenazas de ciberdelincuentes, la computación en la nube, la automatización y el trabajo de empleados desde casa, entre otros.
¿Por qué es necesaria la transición a ISO 27001:2022?
La transición a ISO 27001:2022 responde a la necesidad de abordar las exigencias regulatorias actuales, ajustar la gestión de seguridad de la información a los escenarios tecnológicos actuales y sus amenazas y, de forma particular, optimizar el uso de los controles que conforman el Anexo A, agrupando algunos, suprimiendo otros e incorporando algunos nuevos.
Las modificaciones consideran temas de ciberseguridad, privacidad de datos y de información sobre los cuales no se había puesto el debido enfoque en la edición anterior, entendiendo que esta se produjo en el año 2013.
Los nuevos controles son 11, los que se actualizan en su definición son 58 y los que se agrupan son 24. En cuanto al cuerpo de la norma, se encuentran temas muy interesantes que aparecen como novedad.
¿Cuáles son las novedades en ISO 27001:2022?
ISO 27001 es un estándar sobre gestión de seguridad de la información, que aborda todos los problemas que pueden afectar a activos tan importantes para la organización, como lo son sus datos y su información.
En este sentido, ISO 27001 aborda todas las formas susceptibles de transmitir, almacenar, comunicar, tratar o generar información. Esto incluye la información en papel, instrucciones o informes orales, almacenamiento en archivos tradicionales, entre otros.
Sin embargo, es claro que el peso mayor está en información digital y TI. En esta área en particular, el dinamismo es alto y los escenarios siempre cambiantes. La transición a ISO 27001:2022 dota de herramientas efectivas para atender desafíos planteados por:
- Computación en la nube.
- Automatización e inteligencia artificial.
- Nuevas tecnologías digitales.
- Riesgos de ciberseguridad y privacidad.
- Nuevas amenazas en cuanto a ransomware y malware.
- Regulaciones recientes como RGPD.
- Terminología de reciente adopción en el área.
Finalmente, con la transición a ISO 27001:2022, las organizaciones tendrán un estándar mucho más fácil de integrar con otros Sistemas de Gestión ISO, debido a la actualización de la que fue objeto la Estructura de Alto Nivel de la norma.
¿Cuánto tiempo tienen las organizaciones para completar la transición a ISO 27001:2022?
La publicación de la actualización de ISO 27001 se produjo el 25 de octubre de 2022. Sin embargo, el periodo de transición, que es de tres años, inicia desde el 31 de octubre de 2022.
Esto implica que todos los procesos de transición deben concluir, a más tardar, el 31 de octubre de 2025. Pero también es importante anotar que habrá un periodo de espera, que va hasta el 24 de mayo de 2024, en el que las organizaciones que ya comenzaron procesos de implementación y certificación, basados en la edición 2013 de la norma, tendrán la oportunidad de concluirlos y certificar sus Sistemas, bajo los requisitos de la edición anterior.
Las organizaciones que se encuentren en el caso expuesto en el párrafo anterior, tendrán que pasar de la euforia de la certificación, al trabajo de transición a ISO 27001:2022. Para finalizar el cronograma, el 31 de julio de 2025 está previsto como fecha final, por el momento, para realizar las últimas auditorías de transición.
El 31 de octubre de 2025, todos los certificados basados en el estándar de 2013 dejarán de tener validez.
¿Necesitas hacer la transición a la nueva versión de #ISO27001 de 2022? Pon a punto tu Sistema de Gestión de #SeguridadInformación. Encuentra la guía completa aquí Share on X¿Qué preparar para la transición a ISO 27001:2022?
Hay tiempo suficiente, pero es preciso planificar la transición para incorporar lo necesario, ajustar y llegar a tiempo a las fechas definidas. Algunas recomendaciones útiles para preparar la transición son:
- Obtener el texto de la actualización, y compararlo con la edición anterior, resaltando las novedades.
- Identificar los empleados clave que se tendrán que trabajar en la transición.
- Identificar las necesidades de capacitación que requerirá el proyecto. Quiénes necesitarán capacitación y en qué tema.
- Identificar brechas de cumplimiento, teniendo en cuenta los nuevos requisitos y controles.
- Elaborar un listado de acciones necesarias para la transición.
- Asignar responsabilidades.
- Elaborar un cronograma que llegue hasta una primera revisión.
Cronograma para la transición a ISO 27001:2022
Recopilando la información, la línea de tiempo a cumplir para llegar a tiempo a cada una de las etapas establecidas, sería esta:
- Las organizaciones disponen de tres años para completar la transición, que inician el 31 de octubre de 2022 y concluyen el 31 de octubre de 2025.
- Durante este periodo de tiempo (tres años) los certificados emitidos a los Sistemas basados en la edición 2013, conservarán su validez.
- Durante este periodo de transición, los organismos certificadores realizarán auditorías de:
- Vigilancia.
- Recertificación.
- Especiales.
- Certificación inicial.
Estas últimas no requerirán auditoría de transición como requisito previo.
- Las auditorías de transición evaluarán:
- Las brechas de cumplimiento con los requisitos de la nueva edición de ISO 27001.
- La actualización de la Declaración de Aplicabilidad.
- La actualización del plan de gestión de riesgos, cuando corresponda.
Las novedades en la nueva edición de ISO 27001 se enfocan en el tratamiento de información por medios digitales y virtuales, sus riesgos y los desafíos que proponen para las organizaciones. Las organizaciones que han automatizado la Gestión de Seguridad de la Información y están inmersas en procesos de Transformación Digital, alcanzarán la conformidad con el nuevo estándar con mucha facilidad.
La formación será el otro elemento indispensable.
Diplomado de Seguridad de la Información – ISO/IEC 27001 Actualizado versión 2022
La Escuela Europea de Excelencia ha actualizado el Diplomado de Seguridad de la Información ISO/IEC 27001, de acuerdo con las novedades que incorpora la edición 2022 de la norma.
Este programa, además de profundizar en los requisitos, nuevos y antiguos, de la norma, entrega las competencias y habilidades necesarias para realizar las múltiples auditorías que se desarrollan durante la transición. Inscríbete ahora.
Además, si ya cuentas con formación y solo necesitas ponerte al día con los cambios de la norma, el Curso Transición a ISO/IEC 27001:2022 te será de utilidad.