En un mundo digitalmente interconectado y en constante evolución, la Seguridad de la Información se ha convertido en un pilar fundamental para las organizaciones que buscan proteger sus activos más valiosos. En este contexto, la actualización a ISO 27001:2022 proporciona un marco sólido para la búsqueda constante de la excelencia en este ámbito crucial.
Así, las organizaciones que implementaron el estándar tienen tres años, contados a partir de octubre de 2022, para culminar la actualización a ISO 27001:2022.
En este artículo, exploramos los 7 pasos esenciales que marcarán el camino hacia una exitosa actualización del sistema de gestión de seguridad de la información, asegurando que las organizaciones se mantengan a la vanguardia en la protección de sus datos y activos críticos.
¿Cuáles son los pasos a seguir para la actualización a ISO 27001:2022?
Los cambios en el estándar de Gestión de Seguridad de la Información son de forma y no estructurales. Esto facilita la tarea, que, sin embargo, requiere una guía para culminarla con éxito.
La actualización a ISO 27001:2022 puede llevarse a cabo siguiendo estos pasos:
1. Identificar los cambios
Como se advierte, la actualización a ISO 27001:2022 requiere considerar cambios de forma y no de fondo o de estructura. El concepto, el funcionamiento y los requisitos son los mismos. Encontramos, no obstante, cambios en tres aspectos:
Cambios de redacción
Cambios de redacción, que aparecen en siete cláusulas específicas:
- En la cláusula 4.2, se agrega un ítem nuevo que aclara “cuál o cuáles de los requisitos se deben abordar a través del Sistema de Gestión”.
- En la cláusula 4.4, aparece una nueva frase para incluir, dentro de las solicitudes de información, a los procesos y sus interacciones.
- En la cláusula 5.3, que habla sobre responsabilidades y autoridades se incluye la expresión “dentro de la organización”.
- En la cláusula 6.1.3 las notas son reemplazadas, y apenas se aclara que es preciso demostrar la planificación de los cambios en el SGSI.
- En la Cláusula 6.2, sobre objetivos de Seguridad de la Información, se agrega una solicitud para monitorizar el cumplimiento de esos objetivos.
- En la cláusula 7.4, que hablaba sobre procesos de comunicación, ahora apenas se habla sobre “cómo comunicar”.
- En la cláusula 8.1, finalmente, se agrega una solicitud para establecer criterios para los procesos del Sistema.
Cambios de cláusulas
Cambios de cláusulas que se limitan a la cláusula 6.3 (Planificación de los Cambios) en la que ahora se solicita considerar los cambios con enfoque en su objetivo, pero también en las consecuencias que tendrá, y a la cláusula 9, en la cual encontramos estos cambios:
- 9.2 (Auditoría Interna) y 9.3 (Revisión de la Dirección), se subdividen ahora en
- 9.2.1 General.
- 9.2.2 Programa de Auditoría Interna.
- 9.3.1 General
- 9.3.2 Entradas de revisión de la Dirección
- 9.3.3 Resultados de la Revisión por la Dirección
Finalmente, para concluir este apartado, los dos ítems de la cláusula 10 han intercambiado su posición, con el fin de armonizar el texto con el Anexo SL.
Cambios en los controles del Anexo A
Cambios en los controles del Anexo A en los que se destaca la reducción de categorías, a tan solo cuatro:
- Controles organizacionales.
- Controles de personas.
- Controles físicos.
- Controles tecnológicos.
Aunque los controles han disminuido en apariencia (de 114 a 93), lo cierto es que muchos se han fusionado y algunos son nuevos.
2. Elaborar un cronograma para la actualización a ISO 27001:2022
Las organizaciones que han implementado y certificado su Sistema de Gestión, bajo la edición anterior de la norma, tienen hasta el 31 de octubre de 2025 para culminar la actualización a ISO 27001:2022.
Así es que este es el plazo límite. Es importante aclarar que los organismos de certificación se toman un tiempo para programar la auditoría de terceros, otro para producir los informes y otro para expedir la certificación, suponiendo que todo salga bien.
De forma que no estaría mal pensar en el final de 2024 como fecha límite para tener el Sistema listo, actualizado y preparado para atender a los auditores de certificación. Esta fecha podría ser incluso más próxima si se consideran factores como:
- Tamaño y complejidad de la organización.
- Exigencias regulatorias a las que está sometida.
- Necesidades legales o normativas para demostrar la actualización.
- Capacidad de empleados clave para participar en el proyecto.
3. Determinar las acciones necesarias para alcanzar la conformidad
Un análisis de brechas sería un buen inicio para la tarea de actualización a ISO 27001:2022. Esto suponiendo que hay una compresión total de los cambios expuestos en el epígrafe uno.
Es importante recordar las necesidades de planificación, que se suman a la de implementar los cambios en la práctica, así como la obligación de especificar la forma en que se relacionan los procesos.
Una buena idea es elaborar un diagrama que muestre los procesos, sus interacciones, y señale los puntos en los que es preciso diseñar e implementar acciones para cumplir con las novedades de la nueva edición de ISO 27001.
4. Repasar la Gestión de Riesgos
Para la Actualización a ISO 27001:2022 no es preciso revisar la Gestión de Riesgos. Pero, es importante tener en cuenta que el auditor de certificación lo tendrá en cuenta, por el solo hecho de ser una evaluación de un Sistema de Gestión, en la que debe avalar su eficacia y efectividad, sin considerar a qué edición de la norma corresponde.
Además, es una excelente oportunidad para afinar la Gestión de Riesgos y, sobre todo, ajustarla a la nueva estructura de controles del Anexo A.
5. Crear una nueva Declaración de Aplicabilidad
En general, no sería necesario revisar la documentación del Sistema. Sin embargo, es importante que la Declaración de Aplicabilidad se relacione de forma directa con los controles del Anexo A.
Si los controles han cambiado, por supuesto, la Declaración también debe hacerlo. El cambio de Declaración conduce, en algunos casos, a una revisión de la política, o de algunos procedimientos.
6. Contactar al organismo certificador
Antes de concluir el trabajo de campo dentro de la organización, es posible preparar el terreno con el organismo certificador. Con la premura que tendrán algunas organizaciones, es una buena idea comenzar el trámite con anticipación.
7. Programar auditorías internas
La auditoría interna es la mejor forma para prepararse para la auditoría de certificación. Las auditorías internas permiten, además de identificar fallos y deficiencias, establecer recursos necesarios para avanzar en el proyecto de transición y concluirlo con éxito.
Dentro de esos recursos se destacan, por un lado, los recursos tecnológicos, que permitirán apoyar la implementación de los cambios, proporcionar información inmediata y diagnosticar problemas con la debida agilidad.
Los Sistemas de Gestión automatizados, propios de organizaciones que ya incursionan en procesos de Transformación Digital, enfrentarán pocos problemas en la actualización a ISO 27001:2022.
Por otro lado, la formación y capacitación de los empleados clave, o los encargados de la conducción del Sistema, es el segundo de los recursos indispensables.
Curso Transición a ISO/IEC 27001:2022
ISO 27001 se actualiza para acomodarse a las exigencias y desafíos que enfrenta la Seguridad de la Información en el siglo XXI. El Curso Transición a ISO/IEC 27001:2022, es el programa que aporta los conocimientos y competencias que necesitan los profesionales que tengan la responsabilidad de guiar a su organización en el camino hacia la actualización a ISO 27001:2022.
Este programa, que presta especial atención a los controles, teniendo en cuenta que los requisitos presentan muy pocos cambios, tiene una convocatoria abierta en este momento. Inscríbete aquí.