La nueva versión de la ISO 27001:2013 e ISO 27001:2022, ha causado muchas dudas y consultas, sobre todo en el cómo y qué considerar para la transición de los nuevos cambios en el SGSI.
Todos buscamos hacer una adecuación sin complejidad y tener el mínimo impacto en la operación de nuestro SGSI, por lo tanto, les dejaré de forma resumida lo que debemos tener en cuenta:
Comenzaremos mencionado el cambio de nombre, la versión 2013, tenía como nombre «Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos», mientras que la versión 2022 se denomina “Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos”.
Ahora veamos los cambios en Cláusulas desde el 4 al 10:
- Cláusula 4.2: la norma mantiene la comprensión de las expectativas y necesidades de las partes interesadas, sin embargo, es necesario identificar los requisitos que abordará el SGSI.
- Cláusula 4.4: se presentan cambios en el lenguaje para incluir procesos y sus interacciones necesarias dentro del SGSI. La versión 2013 define el término de «estándar internacional”, sin embargo, la versión 2022, lo define como «documento”.
- Cláusula 6.1.3: se especifica ahora que los objetivos de control no son necesariamente controles de seguridad, por ello, se cambia la palabra “objetivos de control” a “controles”.
- Cláusula 6.2: se esclarece como obligatorio que los objetivos de seguridad de la información deben ser monitorizados y documentados.
- Cláusula 6.3: esta es una nueva cláusula, donde se establece la necesidad de planificar los cambios que requiera el sistema en cualquier punto y en cualquier momento.
- Cláusula 7.4: en favor a mejorar la comunicación incorpora cambios que pretenden hacerla más comprensible y fácil. “Quién se comunicará” es reemplazado por “Cómo comunicar”. Asimismo, se prescinde de la necesidad de tener procesos que demuestren que se efectuará la comunicación.
- Cláusula 8.1: el cambio se centra en la capacidad de cumplimiento, donde la norma ISO/IEC 27001:2022 solicita ahora que la información documentada esté siempre disponible, en lugar de solo mantenerla. Asimismo, se adiciona la necesidad de “determinar y controlar procesos subcontratados”, la especificación de que esos procesos, productos o servicios subcontratados, sean relevantes para la gestión del SGSI.
Los numerales que no son mencionados, no presentan modificación alguna o al menos la modificación es en forma, más no en el objetivo de la cláusula.
Ahora revisemos sobre los controles del Anexo A:
- Nuevo agrupamiento de controles: en la versión 2013 los controles del Anexo A se agrupaban en 14 secciones de control, sin embargo, la versión 2022 los agrupa en 4 grupos, los cuales son: Personas, Organizacional, Tecnológico, y Físico.
- Controles: la versión 2013 disponía 114 controles de cumplimiento, sin embargo, la versión 2022, dispone 93 controles de cumplimiento. La nueva disposición de controles consiste en: * Controles nuevos: 11. * Controles fusionados: 57. * Controles renombrados: 23. * Controles eliminados: 3.
- Nuevos controles del Anexo A de ISO 27001:2022: los nuevos controles del anexo A son los siguientes: A.5.7 Inteligencia de Amenazas, A.5.23 Seguridad de la Información para el Uso de Servicios en la Nube, A.5.30 Preparación de TIC para la Continuidad del Negocio, A.7.4 Monitoreo de Seguridad Física, A.8.9 Gestión de Configuración, A.8.10 Eliminación de Información, A.8.11 Enmascaramiento de Datos, A.8.12 Prevención de Fugas de Datos, A.8.16 Actividades de Monitoreo, A.8.23 Filtrado Web y A.8.28 Codificación Segura. Espero que esta breve información sobre las diferencias clave entre las versiones 2013 y 2022 de la norma ISO 27001, esclarezca las dudas de los cambios a considerar en la adecuación de la norma.
