vsistemas-iso-27001-2022

Nueva versión ISO 27001:2022

1. Introducción

Se ha editado recientemente, el 25 de octubre de 2.022, la nueva edición de la norma ISO27001 que es el referente en lo que respecta a sistemas de gestión de seguridad de la información.

La publicación de esta nueva versión de la norma va a exigir a las empresas certificadas el realizar la adecuación a la misma.

En este artículo se trata de comentar los principales cambios que incluye y de aclarar el proceso de adecuación a la misma con los tiempos requeridos.

2. Principales cambios en la ISO 27001:2022

Los principales cambios que incluye esta nueva versión son:

  • 2.1 Cuerpo de la norma

A nivel del cuerpo normativo (del apartado 4 al 10 de la norma) no cambia prácticamente nada, salvo:

  • Se incluye un nuevo punto “6.3 Planificación de Cambios” que hace referencia a la planificación de los cambios dentro del propio sistema de gestión y, por lo tanto, el primero que tendremos que planificar es el de la propia migración / adaptación / adecuación a la nueva norma (este punto no aparece en el índice de la norma, pero sí en el desarrollo de la misma)
  • SoA (declaración de aplicabilidad): se deberá realizar una nueva SoA de acuerdo a los requisitos del Anexo A que cambia en su totalidad
  • Análisis de riesgos: se podrán de sustituir las matrices de trazabilidad entre los controles y las amenazas, incluyendo aspecto de madurez de los controles (no es exigible de acuerdo con norma, pero sí conveniente y es pedido por muchos auditores)
  • Seguimiento y control: queda por ver cómo van a aplicar las certificadoras los requisitos en cuanto al seguimiento y medición de los controles (evidentemente todo control que tenga un nivel de madurez 4 deberá ir acompañado de un sistema de medición). La organización deberá definir qué medir y establecer la sistemática de sistema de seguimiento.

Análisis del contexto de la organización: las empresas deberán realizar un mayor esfuerzo a la hora de identificar amenazas (privacidad, NIS, nube, derechos digitales, ciberseguridad, inteligencia artificial, etc.), tanto asociadas a factores internos como externos, y a registrar dicho análisis de riesgos y oportunidades

  • 2.2 Anexo A de controles técnicos

El Anexo A de la norma cambia de forma global:

  • Más allá de los aspectos numéricos (de 114 controles a 93), aquí el cambio es radical en tanto en cuanto que desaparecen los 3 niveles d.o.c (dominio, objetivo de control y control) y se queda en 2 niveles
  • Pasamos de 14 dominios a 4 apartados:
    • Organizativos
    • Personal
    • Seguridad física
    • Tecnología
  • Asociado a cada control vamos a tener 5 atributos como son:
    • Tipo de control: #preventivo, #detectivo o #correctivo
    • Propiedades de seguridad de la información: #confidencialidad, #integridad y #disponibilidad
    • Conceptos de ciberseguridad: #Identify, #Protect, #Detect, #Respond y #Recover
    • Capacidades operativas: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_, #Application_security, ….
    • Dominios de seguridad: #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
  • Del mismo modo, asociado a cada control vamos a tener el requisito en sí y un objetivo (propousal)
  • A nivel numérico los cambios más representativos son:
    • Se pasa de 114 controles a 93
    • 53 controles se mantienen igual
    • En 2 controles se incremente un tanto los requisitos
    • En 5 controles hay modificaciones significativas
    • 22 controles se reagrupan
    • Hay 11 nuevos controles:
      • 5.7 Inteligencia de las amenazas: consiste en recopilar y analizar información sobre amenazas existentes o emergentes con el fin de facilitar acciones informadas para evitar que las amenazas causen daño a la organización, o reducir el impacto de dichas amenazas
      • 5.23 Seguridad de la información para el uso de servicios en la nube (tanto para los proveedores como para la propia empresa). Habrá que ver los controles de la ISO27017
      • 5.29 Seguridad de la información durante la interrupción: ver cómo se mantiene la seguridad en caso de interrupción del servicio
      • 5.30 Preparación de las TIC para la continuidad de las actividades: serían básicamente los antiguos 17.1.1, 17.1.2 y 17.1.3 de la ISO27001 de 2.013
      • 7.4 Vigilancia de la seguridad física: videovigilancia de las instalaciones
      • 8.9 Gestión de la configuración: no se requiere una CMDB pero hay que ir avanzando en la gestión de la configuración
      • 8.10 Eliminación de la información: no se trata del borrado de los metadatos que ya existía en el ENS, sino de la eliminación de la información en soporte papel y digital, borrado en las bases de datos, borrado de los datos en el cloud, de acuerdo, estos 2 últimos, con la política de retención de datos de que disponga cada empresa
      • 8.11 Enmascaramiento de datos: ofuscación, anonimización / ofuscación, etc.
      • 8.12 Prevención de fugas de datos: inclusión de políticas DLP
      • 8.16 Seguimiento de actividades: implementación de SIEMs
      • 8.23 Filtrado de webs: no se trata tanto de montar un WAF sino de disponer de sistemas de control de navegación por contenidos (dónde se navega, filtrado de contenidos y antivirus de navegación web)
      • 8.28 Codificación segura: se trata de dar instrucciones de codificación (programación) segura y realizar un control de dicha codificación
3. Plazos de transición a la ISO 27001:2022

Los plazos para la adecuación a la nueva ISO27001 son los siguientes:

  • Fecha de publicación de la norma: octubre de 2.022
  • ENAC dispone de 6 meses para poder estar lista para acreditar a las certificadoras (ya está publicado)
  • Certificadoras acreditadas: disponen de 12 meses para adecuarse a la ISO27001: 2022, con lo que, en un principio hasta octubre de 2.023 no se van a poder realizar auditorias bajo la nueva norma (estos son plazos máximos, pero alguna certificadora puede acreditarse antes)
  • Se dispondrá hasta octubre de 2.025 para realizar las auditorias de adaptación a la nueva versión, siendo posible solicitar la auditoria de adecuación entre octubre de 2.023 hasta octubre de 2.025.
  • Las empresas que se vayan a certificar por primera vez deberán hacerlo a partir de octubre de 2.023 por la nueva versión