La edición de ISO 27001 actualizada el año 2022, incorpora principios básicos que involucran la ciberseguridad y la protección de la privacidad de los datos y de la información.
Esta nueva versión de ISO 27001 actualizada pretende poner el estándar a tono con los riesgos y amenazas cibernéticas y, para lograr el objetivo, entrega una nueva estructura de los controles que conforman el Anexo A.
La versión de ISO 27001 actualizada no deja de preocuparse por satisfacer las expectativas de las organizaciones, de sus clientes y, especialmente de los reguladores. Los cambios no son estructurales. Las modificaciones aportan mayor claridad y los controles son ahora más funcionales y fáciles de entender.
¿Cuáles son los requisitos en la ISO 27001 actualizada?
ISO 27001 actualizada se basa en la misma estructura de Alto Nivel de 10 capítulos: tres iniciales, introductorios y aclaratorios y 7 finales que incluyen los requisitos del estándar. Esta estructura, común a otras normas como la diseñada para la Gestión de la Calidad, o la de Gestión Ambiental, entre otras muchas, en el caso de ISO 27001 presenta una adición muy importante: el Anexo A de Controles.
En la parte de requisitos, cláusulas 4 a 10, la norma no presenta cambios estructurales importantes. Se trata de aclaraciones y precisiones de orden semántico. Las modificaciones más significativas están en la parte de controles. Hagamos un repaso por las solicitudes en cada una de estas cláusulas:
Contexto de la organización (4)
La solicitud aquí es identificar y detallar los aspectos, condiciones, factores o elementos, internos y externos, que tienen la capacidad de afectar la capacidad de la organización para lograr objetivos de Seguridad de la Información.
La cultura imperante, en el interior y el exterior, la estructura administrativa de la gestión, las exigencias regulatorias, las necesidades de capacitación específica en Seguridad de la Información, son, entre otros, factores que definen el contexto de la organización.
La definición del contexto permite a su vez determinar el alcance del Sistema de Gestión. Además, el contexto será retomado más adelante para definir partes interesadas, objetivos y otras solicitudes del estándar.
Liderazgo (5)
ISO 27001 actualizada solicita a la Alta Dirección asumir el liderazgo del proyecto, de la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información y de la asignación de responsabilidades y recursos.
Entre otras acciones, la Alta Dirección debe redactar y publicar una política de Seguridad de la Información que exprese su compromiso con las mejores prácticas para proteger la información de la organización, de los clientes y otras partes interesadas y de los datos que gestione para el cumplimiento de sus objetivos comerciales.
Planificación (6)
El eje de la planificación de la Gestión de Seguridad de la información es la Evaluación de Riesgos. La norma solicita identificar, evaluar y diseñar acciones de tratamiento para amenazas y oportunidades.
La Gestión de Riesgos debe ser planificada: ISO 27001 actualizada solicita elaborar un plan de Gestión de Riesgos, en el que se mencionen los objetivos que se persiguen y la forman en que se alcanzan.
Se consideran dos tipos de objetivos: los generales y los específicos. Los segundos, son definidos para periodos de tiempo determinados, obligando así a una actualización constante del Sistema, monitoreada y revisada. Los cambios, obligados tras cada revisión de objetivos, deben ser planificados y documentados.
Soporte (7)
Soporte hace referencia a los elementos que necesita el Sistema para funcionar y alcanzar los objetivos: recursos económicos, financieros, tecnológicos, de formación y capacitación, de comunicación, cultura, concientización y documentación.
Algunos requerimientos en cuanto a recursos, para la Gestión, deben ser establecidos con base en procedimientos diseñados para ese fin específico. Procedimientos que deben ser documentados. Uno de ellos es el que permite identificar las competencias y las necesidades de capacitación.
También será necesario crear procedimientos para poner en marcha un programa de concientización, para comunicar y para difundir la cultura de Seguridad de la Información en todas las áreas de la organización y entre otras partes interesadas.
Finalmente, este capitulo de soporte requiere documentación controlada, lo que significa observar la trazabilidad en los cambios, crear flujos eficaces para la creación de documentos y garantizar el almacenamiento seguro y la accesibilidad por parte de las personas autorizadas.
Operación (8)
La cláusula de operación, en el numeral 8, solicita demostrar cómo operan los procesos definidos de acuerdo con lo solicitado en los anteriores capítulos, y cómo interactúan entre ellos.
Evaluación del desempeño (9)
ISO 27001 actualizada pide a la organización establecer si el Sistema hace lo que se planificó y puede alcanzar los objetivos. La norma permite a la organización elegir los indicadores que considere necesarios para medir el desempeño.
Aunque ISO 27001 actualizada no lo exige, es bueno documentar la elección y el funcionamiento de los indicadores de desempeño, especificando si se trata de un indicador adelantado, rezagado, cualitativo o cuantitativo y, en el caso último a partir de que número se considera satisfactorio.
Los indicadores o KPIs, son buenos para tomar el pulso al Sistema a diario. Pero una evaluación formal, detallada y profesional sólo será una auditoría o una revisión de la Alta Dirección.
Las auditorías se programan para el año, semestre o trimestre. Las revisiones de la Alta Dirección también deben programarse. Una tarea no excluye a la otra. En cualquier caso, es preciso producir informes, adoptar acciones correctivas, monitorear y revisar y reiniciar el ciclo que conduce a lo solicitado en el último capítulo: mejora continua.
Conoce los nuevos requisitos en la #ISO27001 actualizada en 2022. Explora los requisitos que cambian para mantener la certificación #SeguridadInformación Share on XMejora continua (10)
Con los requisitos de operación, revisión y monitoreo y planificación, la mejora continua, como solicitud, apenas se menciona en el último capítulo de ISO 27001 actualizada.
En esta última sección, no obstante, se reafirma la necesidad de identificar No Conformidades, y diseñar e implementar acciones correctivas para solucionarlas. Es importante entender que no todos los problemas configuran una No Conformidad, y que no siempre es preciso poner a andar una maquinaria compleja para solucionar un problema que apenas amerita una nota.
¿Cuáles son los cambios en los controles de ISO 27001 actualizada?
Un poco más sustanciales son los cambios en los controles de ISO 27001 actualizada en 2022. La posibilidad de elegir – argumentando y documentando – los controles que requiere la organización para garantizar la Seguridad de la Información, se mantiene.
Los controles pasan de 114 a 93. A pesar de la reducción en número, hay controles nuevos. Esto se explica porque aparecen muchas fusiones que reúnen controles independientes, en la edición anterior, que ahora conforman uno solo.
La organización y los encargados de la Seguridad de la Información, o el área de TI, pueden determinar el uso de controles adicionales no especificados en el Anexo A.
Los controles ahora se organizan en cuatro categorías así:
- Organizativos: 37
- De personas: 8
- Físicos: 14
- Tecnológicos: 34
El uso o no de los controles, así como su eficacia para prevenir un determinado riesgo, puede resultar un tanto complejo. Por eso, ISO ha publicado la guía de orientaciones y directrices para el uso de controles del Anexo A, denominada ISO 27002.
Ajustar ISO 27001 a la guía ISO 27002 es una razón más para actualizar el estándar en 2022.
Finalmente, es preciso producir una declaración de aplicabilidad en la que se explica porque se eligió cada control utilizado y las razones por las que se prescinde de otros.
¿Qué documentos son necesarios para alcanzar la conformidad con ISO 27001 actualizada?
Finalmente, los documentos obligatorios para satisfacer los requisitos de la nueva edición de ISO 27001 son pocos. Además de la Declaración de Aplicabilidad, es preciso crear:
- Documento de contexto de la organización Interno y Externo.
- Partes interesadas, sus expectativas y necesidades.
- Alcance del Sistema.
- Política.
- Objetivos.
- Plan para alcanzar los objetivos.
- Asignación de responsabilidades.
- Proceso de evaluación y gestión de riesgos.
- Planificación de riesgos.
- Competencias.
- Comunicación del Sistema.
- Procesos y sus interacciones.
- Monitoreo y seguimiento.
- Revisión, inspección y auditoría.
- Registro y tratamiento de No Conformidades.
ISO 27001 actualizada, más que otros estándares ISO, requiere un apoyo tecnológico. La documentación, por ejemplo, es un apartado sensible que necesita controles extremos y funcionalidades que automaticen la tarea. Otras áreas aprovecharán la capacidad que tienen algunas plataformas para producir información inmediata. La formación, como el elemento complementario ideal para alcanzar la conformidad con ISO 27001 actualizada, es el tema que tratamos en nuestra reflexión final.
Diplomado de Seguridad de la Información – ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001, programa de larga trayectoria en la Escuela Europea de Excelencia, ha sido renovado con las incorporaciones que presenta ISO 27001 actualizada.
Es un programa que ofrece doble titulación: como experto en Seguridad de la Información y como auditor de Sistemas de Gestión de Seguridad de la Información. Con un interesante valor agregado: los estudiantes, si lo desean, pueden aplicar por el Certificado ERCA, del Registro Europeo de Auditores Certificados. Gana el reconocimiento que te llevará a la cima de tu organización. El camino inicia aquí.