La lista de nuevos controles de seguridad en la ISO 27002:2022 es uno de los cambios más relevantes en la norma para la implementación de controles del estándar de Seguridad de la Información.
La actualización de los controles obedece a la necesidad de adecuarlos a los avances tecnológicos y a las prácticas que utilizan las personas para acceder a información local o en la red, tratarla y almacenarla.
A continuación, abordamos las razones por las que se publicó una revisión de la norma, haciendo especial énfasis en los once nuevos controles de seguridad en la ISO 27002:2022.
El nuevo alcance del estándar de Seguridad de la Información ISO 27002:2022
El primero de los cambios en ISO 27002 es una cuestión semántica. Se trata del nombre de la guía: Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Controles de Seguridad de la Información. El nombre anterior no hacía referencia a la ciberseguridad o a la privacidad de datos.
Por qué actualizar ISO 27002
ISO 27002 tiene alcance global. La aparición de diferentes directivas regulatorias en el mundo (GDPR en Europa o POPIA en África), además de un entorno comercial globalizado, hicieron que ISO y la Comisión Electrotécnica Internacional vieran la necesidad de actualizar el estándar de gestión.
La actualización de los controles de seguridad en la ISO 27002:2022 busca ofrecer nuevas referencias para que los usuarios utilicen controles adecuados de acuerdo con los riesgos reales de un mundo globalizado. Se entiende que la proporción mayor de información que se debe proteger está concentrada en medios electrónicos, magnéticos o virtuales.
Qué cambia en la norma ISO 27002:2022
Los cambios en ISO 27002:2022, en la práctica, hacen que deje de ser una guía o un conjunto de orientaciones y directrices para convertirse en el manual de controles de Seguridad de la Información, Ciberseguridad y Protección de la Privacidad.
Esto implica que la gestión de riesgos ahora tiene un alcance mucho más amplio. También hace que la norma aborde aspectos técnicos concretos, relacionados con la gestión de activos, los recursos humanos y otras cuestiones relevantes y relacionadas con la seguridad de los datos y la información.
Cambios específicos en los controles de seguridad en la ISO 27002:2022
Antes de la actualización, los controles eran 114, distribuidos en 14 secciones. Con la actualización, el número pasa a 93. La reducción en el número de controles de seguridad en la ISO 27002:2022 no significa que se eliminen algunos. Por el contrario, aparecen 11 nuevos. Se presenta, no obstante, una fusión de controles (24) que la comisión consideró que tenían funciones análogas.
Las categorías que agrupan los controles seguridad en la ISO 27002:2022 son cuatro:
- Organizacionales.
- De personas.
- Físicos.
- Tecnológicos.
Se incluyen dos anexos: A y B. En el Anexo A aparece la orientación para la aplicación de atributos de los 93 controles actuales. El Anexo B es una tabla de referencia cruzada para identificar la equivalencia entre la nomenclatura 2013 y la de 2022.
Conoce las novedades que presenta la actualización de la norma en cuanto a controles de seguridad en la #ISO27002 versión 2022 #SGSI #SeguridadInformación Share on X¿Cuáles son los nuevos controles de seguridad en la ISO 27002:2022?
Los once nuevos controles de seguridad en la ISO 27002:2022 se enfocan en la contención de amenazas derivadas del acceso a la red, de servicios en la nube o de dispositivos informáticos móviles o fijos. Estos son los siguientes:
1. Control A.5.7: Inteligencia sobre amenazas
En la práctica, este control busca que las organizaciones recojan, evalúen, analicen y entiendan toda la información actual y las predicciones sobre ataques cibernéticos. Por supuesto, se trata de conocimiento que facilita la implementación de medidas de prevención y la identificación de los activos, los datos y la información que es preciso proteger.
2. Control A.5.23: Seguridad de la información para uso de servicios en la nube
Este nuevo control habla de los procedimientos necesarios para gestionar servicios en la nube y el tratamiento de la información que en ellos se deposita. El control solicita especificar políticas, manuales de uso y de procedimiento para utilizar los servicios en la nube.
3. Control A.5.30: Preparación de las TIC para la continuidad del negocio
Dentro de los controles de seguridad en la ISO 27002:2022, este en concreto busca que la empresa compruebe la capacidad de sus plataformas y servicios de TIC para garantizar la disponibilidad de información durante y después de que ocurra un evento disruptivo o un ataque cibernético.
4. Control A.7.4: Monitoreo de la seguridad física
El nuevo control sirve para que las organizaciones identifiquen y prevengan intrusiones o entradas no permitidas a sus sistemas de información o a áreas físicas, implementando las medidas de seguridad y vigilancia necesarias.
Los accesos no autorizados de que trata este control no se limitan a los sistemas cibernéticos o digitales. También han sido diseñados para impedir el robo de datos, en cualquier modalidad, la intrusión para sustraer dinero de cuentas bancarias o la pérdida de activos de información como ordenadores o dispositivos móviles, por ejemplo.
5. Control A.8.9: Gestión de la configuración
El Control A.8.9 busca establecer políticas y procedimientos que garanticen la Seguridad de la Información en la configuración de sistemas o de aplicaciones para administrar hardware, software, redes o almacenamientos en la nube.
6. Control A.8.10: Eliminación de información
Busca establecer procedimientos y controles seguros para la eliminación de la información cuando se considere oportuno. Desechar USBs, unidades de disco duro u otros dispositivos de almacenamiento, representa un peligro para la información que contienen, aunque la organización ya no la considere importante. Los procedimientos para borrar archivos digitales también son objetivo de este control.
7. Control A.8.11: Enmascaramiento de datos
Busca proteger datos que se consideran esenciales, confidenciales o privilegiados. El enmascaramiento, además de ser uno de los nuevos controles de seguridad en la ISO 27002:2022 es un requisito legal y regulatorio en varias latitudes alrededor del mundo.
8. Control A.8.12: Prevención de fuga de datos
La fuga de datos es el riesgo de Seguridad de la Información típico y más recurrente. El control busca prevenir el acceso, transferencia, extracción no autorizada de cualquier tipo de información de la organización.
9. Control A.8.16: Actividades de seguimiento
El seguimiento, monitoreo y vigilancia de la actividad en la red es el objetivo de este nuevo control de ISO 27002. El control busca que las organizaciones asuman un control proactivo y preventivo para evitar incidentes originados por software de seguimiento que se incruste en los sistemas utilizados en la empresa.
10. Control A.8.23: Filtrado web
Este control se enfoca en la gestión de las visitas que hacen los empleados a sitios web, sean estas relacionadas con su trabajo o con preferencias o actividades personales, permitidas o no por la organización. Este tipo de visitas representan la mayor fuente de cookies de seguimiento, malware u otro tipo de software malicioso.
11. Control A.8.28: Codificación segura
La mala codificación, la validación incorrecta de entrada o la generación de contraseñas de acceso predecibles exponen la información de la organización a riesgos innecesarios. Este control busca establecer procedimientos y políticas adecuadas para evitar la acción de los hackers o de personas con motivaciones inapropiadas.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 tiene por objetivo la formación de profesionales expertos en el área, con un interesante valor agregado: este programa adapta sus contenidos a la nueva versión de la norma.
Esto significa que la implementación de los controles de seguridad en la ISO 27002:2022 no tendrá secretos para los profesionales que culminen con éxito su formación. Además, de la certificación propia del Diplomado, los alumnos obtienen certificado de auditor interno de Gestión de Seguridad de la Información.
Puedes iniciar tu formación ya mismo. Además, la Escuela Europea de Excelencia cuenta con un programa de becas sociales para que no tengas que renunciar a ella. Comprueba aquí si eres candidato.