Los controles de la ISO 27001, contenidos en el Anexo A de la edición 2022 de la norma, constituyen el cambio estructural significativo que justifica la revisión del estándar. También la necesidad de los profesionales de actualizar sus conocimientos y formación en la materia.
La revisión de 2022 es la segunda desde que el estándar de gestión de Seguridad de la Información se publicara en el año 2005. La primera revisión, en 2013, buscó ajustar la norma a la evolución tecnológica y homologar los requisitos bajo la estructura de Alto Nivel que caracteriza otras normas tan importantes como ISO 9001 o ISO 45001.
Entre 2005 y 2013 también hubo variaciones en los controles de la ISO 27001: 39 fueron eliminados, aparecieron 3 nuevos y, en general, el número disminuyó de 133 a 114. Sin embargo, no hubo un cambio estructural relevante.
La actualización de 2022 sí supuso modificaciones de relevancia en ese aspecto. Los controles de la ISO 27001, además de tener variación en el número, ahora se presentan como novedad en una estructura que los clasifica en cuatro categorías.
Cuáles son los controles de la ISO 27001 versión 2022
Los controles de la ISO 27001 marcan una diferencia importante entre el estándar de gestión de la Seguridad de la Información y otros como el de gestión ambiental o el de seguridad y salud en el trabajo. Los controles de la ISO 27001 son herramientas o barreras de protección que puede utilizar la organización para contener una amenaza, neutralizar un riesgo o minimizar la probabilidad de que se pueda acceder a la información de forma incorrecta o no autorizada.
En la edición 2022 de la norma, los controles de seguridad de la información disminuyen de 114 a 93, pero esto no significa que se hayan eliminado controles. Por el contrario, aparecen 14 nuevos. La explicación a esa disminución del número total está en la fusión de aquellos que se consideraron redundantes.
Ahora los controles de la ISO 27001 se dividen en cuatro categorías, dejando atrás los 14 dominios utilizados hasta la versión 2013. Esas categorías actuales son las siguientes:
1. Controles organizacionales (37)
Los controles organizacionales son decisiones o tareas que corresponden a la Alta Dirección, a los administradores de la organización o a los directores de áreas o ejecutivos medios. La creación de políticas, la definición de responsabilidades, la gestión de riesgos o la asignación de recursos son buenos ejemplos de controles organizacionales.
Estos controles de la ISO 27001 son importantes porque permiten a los responsables administrativos de la empresa ejercer liderazgo en la Seguridad de la Información y la protección de los datos. El conjunto de controles busca construir un marco de gestión que permita tomar las mejores decisiones en un escenario de seguridad y transparencia.
La política de Seguridad de la Información es un buen ejemplo de ello. Las personas saben qué hacer y lo hacen porque encuentran un soporte legal y administrativo en ese documento. Los controles organizacionales, así, son herramientas eficaces para asegurar el cumplimiento regulatorio (RGPD y DORA), así como del cumplimiento de la norma ISO 27001.
2. Controles de personas (8)
Empleados, usuarios de una red o de una aplicación o cualquier persona que tenga acceso a documentos o a información oral representan la mayor fuente de riesgos para la Seguridad de la Información. En esta categoría se incluyen controles relacionados con la concienciación y formación de los empleados, por una parte, y la debida diligencia sobre nuevos trabajadores, por otra.
El objetivo de estos controles es limitar el error humano o las infracciones de seguridad intencionadas, entre las que se incluyen los ataques cibernéticos o fenómenos como el phishing. También son importantes para agregar un valor importante a la gestión: ayudan a generar cultura y conciencia de Seguridad de la Información.
3. Controles físicos (14)
Los controles físicos se encargan de proteger la infraestructura física que puede representar vulnerabilidad para la información: edificios, oficinas, redes de transmisión de datos, servidores, dispositivos, etc.
Restringir el acceso a una sala de servidores o aplicar revisiones, cámaras de vigilancia u otro tipo de sistemas de monitoreo son controles físicos que pueden evitar accesos no autorizados o una exposición de información o datos por error o de forma intencional.
4. Controles tecnológicos (34)
Los controles tecnológicos son las herramientas que tiene a su disposición la organización para proteger la información digital, electrónica, magnética o virtual. Los sistemas de acceso biométrico, los antivirus y cortafuegos o el cifrado y la encriptación forman parte de estos controles tecnológicos.
Es un hecho que un poco más del 80 % de la información que generan o tratan las empresas ya está contenida en medios digitales o en la red. También es evidente que las amenazas que penden sobre esa información son muchas y muy preocupantes: virus, ransomware, malware y todo tipo de ataques cibernéticos.
La tarea de los controles tecnológicos no es fácil. Herramientas como el cifrado o el encriptado de datos e información o la autenticación multifactorial han demostrado gran eficiencia en el propósito de evitar el acceso no autorizado.
Utiliza los controles de la #ISO27001:2022 adecuados. Descubre cuáles son y para qué sirven. Compartir en XQué cambia de ISO 27001:2013 a ISO 27001:2022
Además de la reducción del número de controles, que no implica eliminación y sí algunas incorporaciones, está la ya mencionada categorización de los controles de la ISO 27001 y, no menos importante, la introducción de los atributos:
Atributos en ISO 27001
El objetivo que buscaron los autores de la norma para introducir los atributos es entregar herramientas útiles para definir el contexto en el que opera cada control, comprender su propósito y encontrar la mejor forma para utilizarlo.
Los atributos facilitan hacer un uso flexible y personalizado de cada uno de los controles de la ISO 27001, de acuerdo con la gestión de riesgos y el contexto único de la organización. Estos atributos son:
- Conceptos de ciberseguridad.
- Propiedades de seguridad de la información.
- Capacidades operativas.
- Dominios de seguridad.
- Tipos de control (preventivo, detectivo, correctivo).
Cuáles son los nuevos controles de la ISO 27001
La revisión de 2022, como se ha indicado, no elimina controles. Al contrario, aparecen catorce nuevos controles que se agrupan en cinco subcategorías:
- Inteligencia de amenazas para que las empresas, de forma proactiva, recopilen, procesen, analicen información relevante sobre este tipo de infracciones y diseñen estrategias preventivas eficaces para neutralizarlas.
- Prevención de fuga de datos para evitar la divulgación no autorizada de información, registros o datos, sea intencional o no.
- Seguridad en la nube para que las organizaciones establezcan protocolos que garanticen la confidencialidad e integridad de la información que se almacene en este tipo de servicios.
- Configuración de la red para que las empresas creen políticas y diseñen procesos documentados en los que se describan los procedimientos de uso obligatorio para todas las actividades que impliquen transmitir o procesar información a través de una red de datos interna o externa.
- Enmascaramiento de datos para que se adopten procedimientos estrictos que permitan cumplir con la regulación (RGPD) y aumentar la protección sobre los datos privados de terceros.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 incorpora contenidos actualizados de acuerdo con los cambios de la última edición de la norma. Esto significa que temas como los controles de la ISO 27001, según la revisión vigente, se abordan en profundidad dentro del programa.
El Diplomado capacita a profesionales altamente cualificados, expertos en Seguridad de la Información, requisitos y formalidades de ISO 27001 y técnicas de auditoría. En este último aspecto, los alumnos que culminan su formación reciben acreditación como auditores internos de SG-SI y pueden aplicar para obtener la Certificación ERCA, que les permitirá trabajar en cualquier país de Europa o América Latina. Si quieres iniciar ya tu formación, solo tienes que contactar con nuestros asesores.
