Nueva versión ISO 27001:2022
1. Introducción
Se ha editado recientemente, el 25 de octubre de 2.022, la nueva edición de la norma ISO27001 que es el referente en lo que respecta a sistemas de gestión de seguridad de la información.
La publicación de esta nueva versión de la norma va a exigir a las empresas certificadas el realizar la adecuación a la misma.
En este artículo se trata de comentar los principales cambios que incluye y de aclarar el proceso de adecuación a la misma con los tiempos requeridos.
2. Principales cambios en la ISO 27001:2022
Los principales cambios que incluye esta nueva versión son:
- 2.1 Cuerpo de la norma
A nivel del cuerpo normativo (del apartado 4 al 10 de la norma) no cambia prácticamente nada, salvo:
- Se incluye un nuevo punto “6.3 Planificación de Cambios” que hace referencia a la planificación de los cambios dentro del propio sistema de gestión y, por lo tanto, el primero que tendremos que planificar es el de la propia migración / adaptación / adecuación a la nueva norma (este punto no aparece en el índice de la norma, pero sí en el desarrollo de la misma)
- SoA (declaración de aplicabilidad): se deberá realizar una nueva SoA de acuerdo a los requisitos del Anexo A que cambia en su totalidad
- Análisis de riesgos: se podrán de sustituir las matrices de trazabilidad entre los controles y las amenazas, incluyendo aspecto de madurez de los controles (no es exigible de acuerdo con norma, pero sí conveniente y es pedido por muchos auditores)
- Seguimiento y control: queda por ver cómo van a aplicar las certificadoras los requisitos en cuanto al seguimiento y medición de los controles (evidentemente todo control que tenga un nivel de madurez 4 deberá ir acompañado de un sistema de medición). La organización deberá definir qué medir y establecer la sistemática de sistema de seguimiento.
Análisis del contexto de la organización: las empresas deberán realizar un mayor esfuerzo a la hora de identificar amenazas (privacidad, NIS, nube, derechos digitales, ciberseguridad, inteligencia artificial, etc.), tanto asociadas a factores internos como externos, y a registrar dicho análisis de riesgos y oportunidades
- 2.2 Anexo A de controles técnicos
El Anexo A de la norma cambia de forma global:
- Más allá de los aspectos numéricos (de 114 controles a 93), aquí el cambio es radical en tanto en cuanto que desaparecen los 3 niveles d.o.c (dominio, objetivo de control y control) y se queda en 2 niveles
- Pasamos de 14 dominios a 4 apartados:
- Organizativos
- Personal
- Seguridad física
- Tecnología
- Asociado a cada control vamos a tener 5 atributos como son:
- Tipo de control: #preventivo, #detectivo o #correctivo
- Propiedades de seguridad de la información: #confidencialidad, #integridad y #disponibilidad
- Conceptos de ciberseguridad: #Identify, #Protect, #Detect, #Respond y #Recover
- Capacidades operativas: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_, #Application_security, ….
- Dominios de seguridad: #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
- Del mismo modo, asociado a cada control vamos a tener el requisito en sí y un objetivo (propousal)
- A nivel numérico los cambios más representativos son:
- Se pasa de 114 controles a 93
- 53 controles se mantienen igual
- En 2 controles se incremente un tanto los requisitos
- En 5 controles hay modificaciones significativas
- 22 controles se reagrupan
- Hay 11 nuevos controles:
- 5.7 Inteligencia de las amenazas: consiste en recopilar y analizar información sobre amenazas existentes o emergentes con el fin de facilitar acciones informadas para evitar que las amenazas causen daño a la organización, o reducir el impacto de dichas amenazas
- 5.23 Seguridad de la información para el uso de servicios en la nube (tanto para los proveedores como para la propia empresa). Habrá que ver los controles de la ISO27017
- 5.29 Seguridad de la información durante la interrupción: ver cómo se mantiene la seguridad en caso de interrupción del servicio
- 5.30 Preparación de las TIC para la continuidad de las actividades: serían básicamente los antiguos 17.1.1, 17.1.2 y 17.1.3 de la ISO27001 de 2.013
- 7.4 Vigilancia de la seguridad física: videovigilancia de las instalaciones
- 8.9 Gestión de la configuración: no se requiere una CMDB pero hay que ir avanzando en la gestión de la configuración
- 8.10 Eliminación de la información: no se trata del borrado de los metadatos que ya existía en el ENS, sino de la eliminación de la información en soporte papel y digital, borrado en las bases de datos, borrado de los datos en el cloud, de acuerdo, estos 2 últimos, con la política de retención de datos de que disponga cada empresa
- 8.11 Enmascaramiento de datos: ofuscación, anonimización / ofuscación, etc.
- 8.12 Prevención de fugas de datos: inclusión de políticas DLP
- 8.16 Seguimiento de actividades: implementación de SIEMs
- 8.23 Filtrado de webs: no se trata tanto de montar un WAF sino de disponer de sistemas de control de navegación por contenidos (dónde se navega, filtrado de contenidos y antivirus de navegación web)
- 8.28 Codificación segura: se trata de dar instrucciones de codificación (programación) segura y realizar un control de dicha codificación
3. Plazos de transición a la ISO 27001:2022
Los plazos para la adecuación a la nueva ISO27001 son los siguientes:
- Fecha de publicación de la norma: octubre de 2.022
- ENAC dispone de 6 meses para poder estar lista para acreditar a las certificadoras (ya está publicado)
- Certificadoras acreditadas: disponen de 12 meses para adecuarse a la ISO27001: 2022, con lo que, en un principio hasta octubre de 2.023 no se van a poder realizar auditorias bajo la nueva norma (estos son plazos máximos, pero alguna certificadora puede acreditarse antes)
- Se dispondrá hasta octubre de 2.025 para realizar las auditorias de adaptación a la nueva versión, siendo posible solicitar la auditoria de adecuación entre octubre de 2.023 hasta octubre de 2.025.
- Las empresas que se vayan a certificar por primera vez deberán hacerlo a partir de octubre de 2.023 por la nueva versión