Los principales cambios que incluye esta nueva versión son:

• 2.1 Cuerpo de la norma

A nivel del cuerpo normativo (del apartado 4 al 10 de la norma) no cambia prácticamente nada, salvo:

• Se incluye un nuevo punto “6.3 Planificación de Cambios” que hace referencia a la planificación de los cambios dentro del propio sistema de gestión y, por lo tanto, el primero que tendremos que planificar es el de la propia migración / adaptación / adecuación a la nueva norma (este punto no aparece en el índice de la norma, pero sí en el desarrollo de la misma)
• SoA (declaración de aplicabilidad): se deberá realizar una nueva SoA de acuerdo a los requisitos del Anexo A que cambia en su totalidad
• Análisis de riesgos: se podrán de sustituir las matrices de trazabilidad entre los controles y las amenazas, incluyendo aspecto de madurez de los controles (no es exigible de acuerdo con norma, pero sí conveniente y es pedido por muchos auditores)
• Seguimiento y control: queda por ver cómo van a aplicar las certificadoras los requisitos en cuanto al seguimiento y medición de los controles (evidentemente todo control que tenga un nivel de madurez 4 deberá ir acompañado de un sistema de medición). La organización deberá definir qué medir y establecer la sistemática de sistema de seguimiento.

Análisis del contexto de la organización: las empresas deberán realizar un mayor esfuerzo a la hora de identificar amenazas (privacidad, NIS, nube, derechos digitales, ciberseguridad, inteligencia artificial, etc.), tanto asociadas a factores internos como externos, y a registrar dicho análisis de riesgos y oportunidades

• 2.2 Anexo A de controles técnicos

El Anexo A de la norma cambia de forma global:

• Más allá de los aspectos numéricos (de 114 controles a 93), aquí el cambio es radical en tanto en cuanto que desaparecen los 3 niveles d.o.c (dominio, objetivo de control y control) y se queda en 2 niveles
• Pasamos de 14 dominios a 4 apartados:
  • Organizativos
  • Personal
  • Seguridad física
  • Tecnología
• Asociado a cada control vamos a tener 5 atributos como son:
  • Tipo de control: #preventivo, #detectivo o #correctivo
  • Propiedades de seguridad de la información: #confidencialidad, #integridad y #disponibilidad
  • Conceptos de ciberseguridad: #Identify, #Protect, #Detect, #Respond y #Recover
  • Capacidades operativas: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_, #Application_security, ….
  • Dominios de seguridad: #Governance_and_Ecosystem, #Protection, #Defence, #Resilience

• Del mismo modo, asociado a cada control vamos a tener el requisito en sí y un objetivo (propousal)
• A nivel numérico los cambios más representativos son:
  • Se pasa de 114 controles a 93
  • 53 controles se mantienen igual
  • En 2 controles se incremente un tanto los requisitos
  • En 5 controles hay modificaciones significativas
  • 22 controles se reagrupan
  • Hay 11 nuevos controles:
    • 5.7 Inteligencia de las amenazas: consiste en recopilar y analizar información sobre amenazas existentes o emergentes con el fin de facilitar acciones informadas para evitar que las amenazas causen daño a la organización, o reducir el impacto de dichas amenazas
    • 5.23 Seguridad de la información para el uso de servicios en la nube (tanto para los proveedores como para la propia empresa). Habrá que ver los controles de la ISO27017
    • 5.29 Seguridad de la información durante la interrupción: ver cómo se mantiene la seguridad en caso de interrupción del servicio
    • 5.30 Preparación de las TIC para la continuidad de las actividades: serían básicamente los antiguos 17.1.1, 17.1.2 y 17.1.3 de la ISO27001 de 2.013
    • 7.4 Vigilancia de la seguridad física: videovigilancia de las instalaciones
    • 8.9 Gestión de la configuración: no se requiere una CMDB pero hay que ir avanzando en la gestión de la configuración
    • 8.10 Eliminación de la información: no se trata del borrado de los metadatos que ya existía en el ENS, sino de la eliminación de la información en soporte papel y digital, borrado en las bases de datos, borrado de los datos en el cloud, de acuerdo, estos 2 últimos, con la política de retención de datos de que disponga cada empresa
    • 8.11 Enmascaramiento de datos: ofuscación, anonimización / ofuscación, etc.
    • 8.12 Prevención de fugas de datos: inclusión de políticas DLP
    • 8.16 Seguimiento de actividades: implementación de SIEMs
    • 8.23 Filtrado de webs: no se trata tanto de montar un WAF sino de disponer de sistemas de control de navegación por contenidos (dónde se navega, filtrado de contenidos y antivirus de navegación web)
    • 8.28 Codificación segura: se trata de dar instrucciones de codificación (programación) segura y realizar un control de dicha codificación