Muchas organizaciones se enfrentan a una carrera contra el tiempo para culminar con éxito la transición a la norma ISO 27001:2022. Para conseguirlo, los profesionales encargados de la tarea necesitan contar con una guía que indique qué falta o qué podría mejorar las opciones de obtener la certificación del sistema de gestión de seguridad de la información de acuerdo con la publicación de octubre de 2022.
ISO fijó el 1 de mayo de 2024 como última fecha posible para la expedición de certificaciones del estándar de Seguridad de la Información ISO 27001 basadas en la edición 2013 de la norma. Quiere decir que las empresas que deseen implementar y certificar un SG-SI por primera vez tendrán que hacerlo sobre la revisión 2022. Mientras, aquellas que ya han certificado su sistema, tendrán que trabajar en la transición a la norma ISO 27001:2022.
Cómo realizar la transición a la norma ISO 27001:2022
Para algunas organizaciones puede tratarse de un proceso no urgente. Sin embargo, para otras, no tener una certificación vigente y actual puede convertirse en un verdadero problema. En cualquiera de los casos, la transición a la norma ISO 27001:2022 debe desarrollarse de manera lógica y ordenada en una serie de etapas.
1. Conocer y entender los cambios
El camino hacia la transición a la norma ISO 27001:2022 se inicia con un análisis detenido del texto de la revisión. Se trata de conocer y entender los principales cambios que lleva implícitos.
En este sentido, es importante anotar que uno de los objetivos que buscó ISO para realizar cambios fue armonizar la norma con la actualización de la guía ISO 27002, desarrollada también en 2022. Tan importante como ese propósito fue el de ajustar los requisitos de ISO 27001 con una nueva redacción del anexo SL. En este sentido, ISO 27001 propone cambios en tres campos:
a. Cambios en la redacción
Siete cláusulas tienen cambios significativos en la redacción, son los siguientes:
Cláusula | Cambios en la edición 2022 de ISO 27001 |
4.2 Comprender necesidades y expectativas de las partes interesadas. | Se añade un tercer ítem que solicita “especificar cuáles de los requisitos se abordarán a través del SG-SI” |
4.4 Sistema de gestión de seguridad de la información. | Aparece la frase “incluyendo los procesos necesarios y sus interacciones” |
5.3 Roles, responsabilidades y autoridades. | Se agrega la expresión “dentro de la organización” al final de la primera oración. |
6.1.3. Gestión de riesgos de seguridad de la información. | Las notas son reemplazadas. |
6.2. Objetivos de seguridad de la información. | Dentro de la lista de solicitudes se añade una nueva: monitorear los objetivos. |
7. Comunicación. | La extensa redacción sobre proceso de comunicación ahora se limita a “cómo comunicarse”. |
8.1. Planificación y control operacional. | Ahora se solicita establecer criterios para los procesos del sistema. |
b. Cambios de cláusulas
En el capítulo 6 aparece una tercera cláusula con la nomenclatura 6.3, relativa a la planificación de cambios. Solicita que se tenga en cuenta el objetivo y las consecuencias de cualquier modificación en el sistema, así como los recursos necesarios, las nuevas responsabilidades y autoridades y la integridad del sistema. El proceso de transición a la norma ISO 27001:2022 es un buen punto de partida para la implementación de este requisito.
Por otra parte, las cláusulas 9.2 y 9.3 ahora se dividen en 9.2.1, llamada General; 9.2.2, Programa de auditoría interna; 9.3.1, General; y 9.3.2, Aportes de la revisión de la Alta Dirección. Finalmente, los subtítulos de la cláusula 10 se intercambian, ajustándose así a la redacción del Anexo SL.
c. Cambios en los controles
Los cambios de redacción y las nuevas cláusulas, o sus modificaciones, no son tan relevantes en la transición a la norma ISO 27001:2022 como los cambios en los controles del Anexo A. Los controles pasan de 114 a 93.
Sin embargo, pese a lo que esto parece indicar, hay nuevos controles y realmente ninguno desaparece. La reducción en el número obedece a una estratégica decisión de fusionar controles. El número de categorías de controles también se reduce. De 14 se pasa a 4:
- Organizacionales (37)
- De personas (8)
- Físicos (14)
- Tecnológicos (34)
2. Fijar una fecha para la transición a la norma ISO 27001:2022
ISO 27001, versión 2022, se publicó el 31 de octubre de 2023. Significa que el plazo límite para culminar la transición a la norma ISO 27001:2022 es el 30 de octubre de 2025. Después, todas las organizaciones, certificadas o no, tendrán que realizar procesos de certificación, pero ya no de actualización o transición.
Es de esperar que la agenda de auditores y organismos certificadores se vaya completando a medida que se acerque ese momento. Por eso, conviene fijar una fecha máxima para culminar el proyecto de transición a la norma ISO 27001:2022, incluyendo la auditoría de certificación. Para hacerlo, es preciso considerar algunos aspectos:
- El trabajo que se realizará, de acuerdo con un análisis basado en los cambios ya conocidos.
- Factores externos al sistema que pueden ralentizar el proyecto: fusiones, problemas de seguridad de la información, falta de recursos, falta de apoyo de la Alta Dirección, etc
- Necesidad o no de obtener la certificación basada en la más reciente revisión.
- Disponibilidad de organismos certificadores en el país.
- Falta de profesionales idóneos para conducir el proyecto de transición o para realizar auditorías internas.
3. Planificar e implementar los cambios necesarios
Los cambios en la estructura de controles obligan a modificar la declaración de aplicabilidad de estos. Es un trabajo ineludible para todas las organizaciones que trabajan en la transición a la norma ISO 27001:2022.
En cuanto a las cláusulas, el mayor trabajo está en cumplir con lo solicitado en la cláusula 4.4 y en la nueva 6.3. Lo primero requerirá un mapeo detallado de procesos para establecer las posibles interacciones entre ellos. Este trabajo permitirá adelantar otra tarea necesaria para el cumplimiento de lo solicitado en la cláusula 8.1: establecer criterios para los procesos.
En cuanto a la cláusula 6.3, nueva, es simplemente documentar los cambios, creando así la evidencia que requerirá el auditor.
Con esta guía de site pasos culminarás con éxito la transición a la norma #ISO27001:2022. Es el momento de ajustar la Seguridad de la Información. Share on X4. Revisar el plan de gestión de riesgos y la evaluación
Los cambios en los controles, aunque solo sean de nomenclatura y no de fondo, obligan a revisar la gestión y la evaluación de riesgos. En este sentido, la nueva ISO 27002:2022 resulta muy útil. El texto de esta guía proporciona una comparación entre los antiguos y los nuevos controles que permite entender la correlación.
Por otra parte, es importante tener en cuenta que, aunque el número de controles es menor, aparecen once nuevos. Son controles que pueden modificar la gestión y la evaluación de riesgos.
5. Ajustar la declaración de aplicabilidad revisada
En principio, y llegados a esta fase de la transición a la norma ISO 27001:2022, ya se debería contar con una nueva declaración de aplicabilidad de controles, puesto que es una de las tareas que se han mencionado de forma somera en el apartado 3.
Si ya se realizó, en este punto solo será necesario actualizar la política de seguridad, si es procedente y obligatorio hacerlo. Es posible que los nuevos controles no afecten los objetivos propuestos en la política de seguridad de la información, lo cual haría innecesario actualizarla.
6. Contactar con el organismo certificador
Con todo el trabajo hecho hasta este punto, más alguna que otra auditoría interna, el sistema está listo para afrontar la prueba de fuego en la transición a la norma ISO 27001:2022. La auditoría de certificación. Como ya se ha adelantado, es recomendable agendar al auditor con suficiente antelación. Cuanto más tiempo pase, menor será la disponibilidad.
7. Afrontar la auditoría de certificación
Lo que queda es esperar al auditor y hacer lo que se ha planificado previamente. Si el trabajo se ha hecho bien, lo peor que pude pasar es que sea necesario hacer algunos ajustes menores, que el auditor revisará en una nueva visita. Luego, el organismo expedirá el nuevo certificado aprobando el sistema de conformidad con los requisitos de ISO 27001:2022.
Diplomado Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de la Escuela Europea de Excelencia que actualizado para adaptarse a la revisión de la norma. Esto lo convierte en un programa académico de enorme interés para organizaciones que trabajan en la transición a la norma ISO 27001:2022 y para los profesionales encargados de la tarea.
El programa cuenta con contenidos elaborados por reconocidos profesionales. Gracias a ello, los alumnos pueden obtener la capacitación que les permita participar en la implementación, gestión o auditorías internas de sistemas basados en ISO 27001 y dedicarse profesionalmente a la Seguridad de la Información
Es un programa de excelencia abierto que puedes iniciar de inmediato. Además, puedes optar a una de las becas de la Escuela Europea de Excelencia para ayudarte a alcanzar tus metas.