Los requisitos ISO 27001 son el eje central del funcionamiento del estándar de Seguridad de la Información. El auditor, durante la evaluación necesaria para obtener la certificación, basa su trabajo en la comprobación de la conformidad con cada una de las exigencias recogidas en la norma.
Tras la última la actualización del estándar de Seguridad de la Información, realizada en 2022, es importante hacer una revisión minuciosa de los requisitos ISO 27001, de acuerdo con el texto actualizado.
Cuáles son los requisitos ISO 27001 actualizados a la versión 2022 de la norma
El texto de la norma ISO 27001 se divide en dos grandes secciones. Por un lado, las cláusulas y requisitos del sistema y, por otra, la sección de controles, denominada Anexo A.
La sección de cláusulas, que abarca 10 capítulos, también se divide en dos. Los capítulos 1 a 3 no incluyen requisitos, solo definiciones, glosario y referencias normativas. Los requisitos ISO 27001 aparecen en los capítulos 4 a 10 de la siguiente forma:
1. Capítulo 4: Contexto de la organización
Los requisitos ISO 27001 que aparecen en este capítulo buscan un objetivo común: hacer que la organización identifique y entienda las condiciones, factores o elementos que conforman su entorno. Factores internos o externos que pueden impactar de forma positiva o negativa en la capacidad para alcanzar los objetivos de Seguridad de la Información.
La presencia o no de cultura de seguridad, por ejemplo, es un factor que determina el contexto interno. Mientras, los aspectos regulatorios, los operadores de servicios de comunicaciones e internet son algunos de los elementos que conforman el contexto externo. El capítulo 4 solicita definir el contexto interno y externo y, en función de ello, el alcance del sistema de gestión SI.
2. Capítulo 5: Liderazgo
El liderazgo del proyecto de Seguridad de la Información, basado en el estándar ISO 27001, corresponde a la Alta Dirección. Cumplir el requisito es un tanto más complejo.
- La Alta Dirección demuestra el liderazgo expresando su compromiso en la política de Seguridad de la Información.
- Otra forma de expresarlo es haciéndolo público en los canales de divulgación que utiliza de forma consuetudinaria: comunicados, revistas internas, presentaciones, diálogos con sus gerentes o con otros órganos constituidos dentro de la organización, así como con todas las partes interesadas.
- Después, con el avance del proyecto e incluso cuando el sistema se ha certificado, el liderazgo de la Alta Dirección se refleja en la asignación de recursos y en el ejercicio de su deber de revisar el funcionamiento del sistema.
Es importante que la Alta Dirección se asegure de que el mensaje que está difundiendo llegue a todos los niveles de la organización, sin distorsiones, que se entienda y comprenda. Parte de ese mensaje es asignar responsabilidades y mantenerlo vigente. El liderazgo es continuo y todos en la organización deben recibir con determinada periodicidad un recordatorio.
3. Capítulo 6: Planificación
Los requisitos ISO 27001 se han diseñado para que la organización asuma una gestión de Seguridad de la Información proactiva. Esto implica anticiparse a las eventualidades, de ahí que este capítulo recoja exigencias tan importantes como la evaluación de riesgos y su tratamiento.
Por supuesto, los objetivos y los indicadores que se utilizarán para medir el nivel de alcance también forman parte de este capítulo de planificación. Estos objetivos son diferentes a los generales que se mencionan en otros requisitos ISO 27001, como los que se incorporan en las políticas o en otros documentos iniciales.
Los objetivos del capítulo 6 necesitan ser inteligentes: medibles, alcanzables, realistas y propuestos para alcanzarse en un periodo de tiempo determinado.
Finalizan los requisitos ISO 27001 de este capítulo con una solicitud sobre cambios: los cambios deben ser planificados, aunque respondan a situaciones de emergencia, como un cambio regulatorio inesperado o una situación extrema derivada de un fenómeno atmosférico.
4. Capítulo 7: Soporte
Dentro de este capítulo de requisitos ISO 27001 aparecen los recursos de todo tipo que requiere la gestión, las necesidades de capacitación y formación o los recursos tecnológicos, entre otros. La norma solicita que se proporcionen todos los recursos, tangibles o intangibles, para asegurar el funcionamiento y la capacidad para alcanzar objetivos del sistema.
Los recursos de capacitación necesitarán métodos eficaces para definir competencias necesarias. Algunos empleados requerirán programas de concienciación que se ofrece suministrar en charlas o conversaciones informales. Otros necesitarán formación técnica o programas especializados en ISO 27001 y en auditoría de sistemas de gestión de Seguridad de la Información un poco más complejos.
Actualízate con la lista de requisitos #ISO27001 en la versión 2022 del estándar de #Seguridaddela Información. Share on X5. Capítulo 8: Soporte
Los requisitos ISO 27001 operan sobre el ciclo PDCA. Este capítulo 8 integra los requisitos que cumplen la con la segunda función. En una descripción muy breve, aquí se ejecuta todo lo que se ha planificado en los capítulos anteriores.
6. Capítulo 9: Evaluación de desempeño
ISO 27001 solicita evaluar el sistema para comprobar su eficacia, para verificar que se hace lo que se propuso desde el inicio. No especifica qué medir o qué comprobar, pero solicita que explique qué ha decidido medir y por qué razones. Por eso, es importante crear un proceso sistemático y coherente y documentarlo.
Lo que sí exige la norma en este capítulo es que se practiquen dos tipos de evaluaciones del sistema, de forma programada y documentada: auditorías internas del sistema y revisiones de la Alta Dirección.
7. Capítulo 10: Mejora continua
Los requisitos ISO 27001 sobre mejora continua se limitan en este estándar a solicitar a la organización la implementación de acciones correctivas determinadas en los instrumentos de evaluación (auditorías y revisiones), necesarios para alcanzar la conformidad.
¿Cuáles son los controles del Anexo A?
Revisados los requisitos ISO 27001 contenidos en los diez capítulos que conforman la estructura de Alto Nivel, resta es hacer un repaso sobre los controles, tal y como se han estructurado en la edición 2022 de la norma. Los controles del Anexo A son ahora 93.
La versión anterior de la norma incluía 114 controles, lo que en primera instancia parecería indicar una disminución o eliminación de controles. No es así, al contrario, se añadieron controles nuevos. Lo que ha sucedido en la revisión 2022 es que hubo un agrupamiento de controles que tenían características y objetivos similares.
La obligación de explicar en una declaración de aplicabilidad las razones por las que se adopta o se deja de lado un control sigue vigente. En esta nueva revisión los controles se agrupan en cuatro categorías:
- Controles organizacionales (37)
- Controles de personas (8)
- Controles físicos (14)
- Controles tecnológicos (34)
ISO 27001:2022 es un estándar concebido para un mundo que prioriza la información digital donde los canales de transmisión son en su mayoría tecnológicos. Precisamente, el componente tecnológico es importante. Las organizaciones que avanzan en su transformación digital encontrarán más oportunidades para obtener beneficios de la automatización de sus sistemas de gestión.
Diplomado Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de la Escuela Europea de Excelencia centrado en la formación de profesionales integrales, capaces de afrontar los retos que implica implementar un Sistema de Gestión de Seguridad de la Información.
Además, los alumnos obtienen la certificación de Auditor Interno en ISO/IEC 27001:2022 y pueden optar a la certificación ERCA, que les permitirá desarrollar su trabajo en Europa o en América Latina.
Puedes iniciar ya tu formación, pero antes comprueba si cumples los requisitos para acceder a una de las becas de la Escuela Europea de Excelencia.