ISO 27001:2022 - Controles nuevos en el estándar de ciberseguridad por excelencia


ISO/IEC 27001 es la norma internacional para la seguridad de la información por excelencia. Se trata de un sistema de gestión de la seguridad de la información (SGSI). Al igual que lo hicimos con el nuevo ENS 2022 ,   hoy venimos con la tan esperada actualización de la norma en ISO/IEC 27001:2022 , sobre la que veremos los principales cambios implementados.
Pero debemos empezar con algo en la cabeza: Lo primero que debemos hacer para la nueva versión de la ISO27001 es no asustarnos, ya que ha cambiado más bien poco .
Listado de cambios en la ISO/IEC 27001:2022
A continuación, intentaremos detallar los cambios en las distintas clausulas surgidas en esta actualización:


ISO/IEC 27001:2022 - Cláusula 4 : Contexto de la organización




Cláusula 4.1 - Entender la organización y su contexto : Sin cambio

Cláusula 4.2 - Comprender las necesidades y expectativas de las partes interesadas :No hay ningún cambio real en la cláusula 4.2 de ISO 27001 para la actualización de 2022. Se ha aclarado que ahora se determinará cuáles de los requisitos identificados se abordarán a través del sistema de gestión de la seguridad de la información en lugar de implicarlo.

Cláusula 4.3 - Determinación del alcance del sistema de gestión de la seguridad de la información : No hay un gran cambio en la cláusula 4.3 de la ISO 27001 en la actualización de 2022, ya que lo único que hace es eliminar la palabra "y" del 4.3 b.

Cláusula 4.4 - Sistema de gestión de la seguridad de la información : En esta actualización, se refieren a través de la norma a este "documento" en lugar de a esta "norma internacional". Sustituyendo las palabras "norma internacional" por la palabra "documento". Han añadido en la frase el término "incluyendo los procesos necesarios y sus interacciones" para dejar absolutamente claro que los procesos están incluidos, en lugar de darlo a entender. En esencia, no ha cambiado nada. Se trata de una aclaración de la redacción.




ISO/IEC 27001:2022 - Cláusula 5 : Liderazgo





Cláusula 5.1 - Liderazgo y compromiso : No cambia

Cláusula 5.2 - Política : No cambia

Cláusula 5.3 - Funciones, responsabilidades y autoridades de la organización : Los cambios en la cláusula 5.3 de la ISO 27001 para la actualización de 2022 son, en el mejor de los casos, menores. Se ha cambiado la palabra "norma internacional" por la palabra "documento" y se ha añadido la aclaración de que la comunicación se realiza dentro de la organización, como siempre se ha insinuado pero nunca se había dicho. Un cambio no muy importante.






ISO/IEC 27001:2022 - Cláusula 6 : Planificación




Cláusula 6.1 - Acciones para abordar los riesgos y las oportunidades : Sin cambios
- Cláusula 6.1.1 - Generalidades : La actualización fue para eliminar la palabra "y" de 6.1.1 b.
- Cláusula 6.1.2 - Evaluación del riesgo para la seguridad de la información : Sin cambios
- Cláusula 6.1.3 Tratamiento de los riesgos para la seguridad de la información : Los cambios en la cláusula 6.1.3 de ISO 27001 son menores pero importantes . Se ha cambiado la redacción de 6.1.3 c para que ahora se haga referencia al Anexo A como una lista de posibles controles de seguridad de la información. Esto es un cambio que contiene una lista completa de objetivos de control.
Se ha eliminado las frases que dicen que los objetivos de control están implícitamente incluidos en los controles elegidos.
Se ha cambiado que los objetivos de control que figuran en el Anexo A no son exhaustivos, pudiendo ser necesarios controles adicionales, a la redacción de Controles de Seguridad de la Información que figura en el Anexo.
Se ha cambiado la palabra objetivos de control por controles.
Se ha cambiado la frase de 6.1.3 d por una lista para facilitar la lectura
Se ha cambiado la palabra "norma internacional" por la palabra "documento".
En general se trata de cambios de aclaración.


Cláusula 6.2 - Objetivos de seguridad de la información y planificación para alcanzarlos : Ha sufrido cambios menores, centrándose los cambios en la claridad. Se introdujo que los objetivos de seguridad de la información deben ser supervisados y estar disponibles como información documentada. Siempre estuvo implícito, pero ahora se hace explícito. Como resultado, la numeración de las subpartes ha cambiado, pero esto no es importante.

Cláusula 6.3 - Planificación de los cambios : Cuando hagas cambios en el SGSI hazlo de forma planificada. Aunque entendiendo que siempre deberían ser planificados, ahora queda reflejado en la actualización 2022.





ISO/IEC 27001:2022 Claus ula 7 : S o p orte





Cláusula 7.1 - Recursos : Sin cambios

Cláusula 7.2 - Competencia : Sin cambios

Cláusula 7.3 - Concienciación : Sin cambios

Cláusula 7.4 - Comunicación : Hay cambios menores. Los cambios pueden considerarse una simplificación. Se elimina quién debe comunicar y se sustituye por cómo comunicar y se elimina por completo la necesidad de mostrar los procesos por los que se debe realizar la comunicación.

Cláusula 7.5 - Información documentada : Sin cambios

- Cláusula 7.5.1 - Generalidades : Hay una actualización general en toda la norma para sustituir las palabras "Norma Internacional" por la palabra "documento". Pero esto no es material, sino que se refiere a cómo la norma se refiere a sí misma en el texto.
- Cláusula 7.5.2 Creación y actualización : Sin cambios
-Cláusula 7.5.3 - Control de la información documentada : No hay cambios en la cláusula 7.5.3 de ISO 27001 en la actualización de 2022. Donde se hacía referencia a la "Norma Internacional" en referencia al documento se ha sustituido por la palabra "documento", como venimos comentando.




ISO/IEC 27001:2022 Claus ula 8 : Operación




Cláusula 8.1 - Planificación y control de las operaciones : Son cambios de aclaración y nada importante. La redacción sobre la planificación y la implementación y el control de los procesos se amplía a la redacción más general de "cumplir con los requisitos" en lugar de antes, que era "cumplir con los requisitos de seguridad de la información". 
Ahora se habla de establecer criterios para los procesos e implementar el control de los procesos en línea con esos criterios. En lugar de mantener la información documentada se cambia a que la información documentada esté disponible. 
Los procesos subcontratados se "determinan y controlan" se cambia a "se controlan los procesos, productos o servicios proporcionados externamente que son relevantes para el sistema de gestión de la seguridad de la información."


Cláusula 8.2 - Evaluación de los riesgos para la seguridad de la información : Sin Cambios

Cláusula 8.3 - Tratamiento de los riesgos de la seguridad de la información : Sin Cambios





ISO/IEC 27001:2022 Cláusula 9 : Evaluación del desempeño




Cláusula 9.1 - Seguimiento, medición, análisis y evaluación : Hay cambios de aclaración. Se han eliminado las palabras sobre "la organización evalúa el rendimiento de la seguridad de la información y la eficacia del sistema de gestión". Estando cubiertas en mayor o menor grado en otras partes de la cláusula.
-El apartado 9.1 b se ha actualizado para orientar sobre los métodos de seguimiento, medición, análisis y evaluación y establece, que deben producir resultados comparables y reproducibles para ser considerados válidos. Esto era antes una nota a pie de página, por lo que no hay cambios importantes. 
-En el apartado 9.1 e se ha suprimido la palabra "y" sin apenas consecuencias.
-Se ha incluido el requisito de que la información documentada esté disponible para demostrar los resultados , convirtiéndolo en un requisito explícito en lugar de implícito. En lugar de conservar la documentación adecuada como prueba, la línea se ha sustituido por el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información. 

Cláusula 9.2 - Auditoría interna : Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a dos nuevas subcláusulas separadas:
- Cláusula 9.2.1 - Generalidades : NUEVA - No dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
- Cláusula 9.2.2 - Programa de auditoría interna : NUEVO - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.

Cláusula 9.3 - Revisión de la gestión : Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a tres nuevas subcláusulas separadas.
- Cláusula 9.3.1 - Generalidades : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
- Cláusula 9.3.2 - Aportaciones de la dirección : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
- Cláusula 9.3.3 - Resultados de la revisión de la gestión : NUEVO - no dice nada nuevo, sólo separa la cláusula anterior para facilitar la lectura.




ISO/IEC 27001:2022 Cláusula 10 : Mejora




Cláusula 10.1 - Mejora continua : Sin cambios pero con numeración intercambiada

Cláusula 10.2 - No conformidad y acción correctiva : Sin cambios pero con numeración cambiada

Anexo A - Controles de seguridad de la información referencia ISO 27002: 2022 : Nueva versión del conjunto de controles




Anexo A : Nueva lista de los Controles ISO 27002:2022



No lo hemos visto en un post explícitamente, pero veamos los cambios significativos y nuevos puntos que nos trae la ISO 27002:2022 , alguno de ellos tan relevantes como el teletrabajo.
ISO 27002 - 5 : Controles organizativos
ISO 27002 - 5.1 : Políticas de seguridad de la información
ISO 27002 - 5.2 : Funciones y responsabilidades en materia de seguridad de la información
ISO 27002 - 5.3 : Segregación de funciones
ISO 27002 - 5.4 : Responsabilidades de la dirección
ISO 27002 - 5.5 : Contacto con las autoridades
ISO 27002 - 5.6 : Contacto con grupos de interés especial
ISO 27002 - 5.7 : Inteligencia de amenazas - NUEVO
ISO 27002 - 5.8 : Seguridad de la información en la gestión de proyectos
ISO 27002 - 5.9 : Inventario de la información y otros activos asociados - CAMBIOS
ISO 27002 - 5.10 : Uso aceptable de la información y otros activos asociados - CAMBIOS
ISO 27002 - 5.11 : Devolución de activos
ISO 27002 - 5.12 : Clasificación de la información
ISO 27002 - 5.13 : Etiquetado de la información
ISO 27002 - 5.14 : Transferencia de información
ISO 27002 - 5.15 : Control de acceso
ISO 27002 - 5.16 : Gestión de la identidad
ISO 27002 - 5.17 : Información de autenticación - NUEVO
ISO 27002 - 5.18 : Derechos de acceso - CAMBIOS
ISO 27002 - 5.19 : Seguridad de la información en las relaciones con los proveedores
ISO 27002 - 5.20 : Gestión de la seguridad de la información en los acuerdos con los proveedores
ISO 27002 - 5.21 : Gestión de la seguridad de la información en la cadena de suministro de las TIC - NUEVO
ISO 27002 - 5.22 : Monitoreo, revisión y gestión de cambios de los servicios de los proveedores - CAMBIOS
ISO 27002 - 5.23 : Seguridad de la información para el uso de servicios en la nube - NUEVO
ISO 27002 - 5.24 : Planificación y preparación de la gestión de incidentes de seguridad de la información - CAMBIOS
ISO 27002 - 5.25 : Evaluación y decisión sobre eventos de seguridad de la información
ISO 27002 - 5.26 : Respuesta a incidentes de seguridad de la información
ISO 27002 - 5.27 : Aprendizaje de los incidentes de seguridad de la información
ISO 27002 - 5.28 : Recogida de pruebas
ISO 27002 - 5.29 : Seguridad de la información durante la interrupción - CAMBIOS
ISO 27002 - 5.30 : Preparación de las TIC para la continuidad del negocio - NUEVO
ISO 27002 - 5.31 : Identificación de los requisitos legales, reglamentarios y contractuales
ISO 27002 - 5.32 : Derechos de propiedad intelectual
ISO 27002 - 5.33 : Protección de registros
ISO 27002 - 5.34 : Privacidad y protección de la información personal
ISO 27002 - 5.35 : Revisión independiente de la seguridad de la información
ISO 27002 - 5.36 : Cumplimiento de políticas y normas de seguridad de la información
ISO 27002 - 5.37 : Procedimientos operativos documentados
ISO 27002 - 6 : Controles de personas
ISO 27002 - 6.1 : Selección de personal
ISO 27002 - 6.2 : Términos y condiciones de empleo
ISO 27002 - 6.3 : Concienciación, educación y formación en materia de seguridad de la información
ISO 27002 - 6.4 : Proceso disciplinario
ISO 27002 - 6.5 : Responsabilidades después de la terminación o cambio de empleo
ISO 27002 - 6.6 : Acuerdos de confidencialidad o no divulgación
ISO 27002 - 6.7 : Trabajo a distancia - NUEVO
ISO 27002 - 6.8 : Reporte de eventos de seguridad de la información
ISO 27002 - 7 : Controles físicos
ISO 27002 - 7.1 : Perímetro de seguridad física
ISO 27002 - 7.2 : Controles físicos de entrada
ISO 27002 - 7.3 : Seguridad de oficinas, salas e instalaciones
ISO 27002 - 7.4 : Supervisión de la seguridad física
ISO 27002 - 7.5 : Protección contra amenazas físicas y ambientales
ISO 27002 - 7.6 : Trabajar en áreas seguras
ISO 27002 - 7.7 : Escritorio y pantalla despejados
ISO 27002 - 7.8 : Ubicación y protección de los equipos
ISO 27002 - 7.9 : Seguridad de los activos fuera de las instalaciones
ISO 27002 - 7.10 : Medios de almacenamiento - NUEVO
ISO 27002 - 7.11 : Servicios de apoyo
ISO 27002 - 7.12 : Seguridad del cableado
ISO 27002 - 7.13 : Mantenimiento de equipos
ISO 27002 - 7.14 : Seguridad en la eliminación o reutilización de equipos
ISO 27002 - 8 : Controles tecnológicos
ISO 27002 - 8.1 : Dispositivos de punto final del usuario - NUEVO
ISO 27002 - 8.2 : Derechos de acceso con privilegios
ISO 27002 - 8.3 : Restricción de acceso a la información
ISO 27002 - 8.4 : Acceso al código fuente
ISO 27002 - 8.5 : Autenticación segura
ISO 27002 - 8.6 : Gestión de la capacidad
ISO 27002 - 8.7 : Protección contra el malware
ISO 27002 - 8.8 : Gestión de las vulnerabilidades técnicas
ISO 27002 - 8.9 : Gestión de la configuración
ISO 27002 - 8.10 : Eliminación de información - NUEVO
ISO 27002 - 8.11 : Enmascaramiento de datos - NUEVO
ISO 27002 - 8.12 : Prevención de la fuga de datos - NUEVO
ISO 27002 - 8.13 : Copia de seguridad de la información
ISO 27002 - 8.14 : Redundancia de las instalaciones de procesamiento de la información
ISO 27002 - 8.15 : Registro de datos
ISO 27002 - 8.16 : Actividades de supervisión
ISO 27002 - 8.17 : Sincronización de relojes
ISO 27002 - 8.18 : Uso de programas de utilidad privilegiados
ISO 27002 - 8.19 : Instalación de software en sistemas operativos
ISO 27002 - 8.20 : Controles de red
ISO 27002 - 8.21 : Seguridad de los servicios de red
ISO 27002 - 8.22 : Filtrado web - NUEVO
ISO 27002 - 8.23 : Segregación en redes
ISO 27002 - 8.24 : Uso de criptografía
ISO 27002 - 8.25 : Ciclo de vida de desarrollo seguro
ISO 27002 - 8.26 : Requisitos de seguridad de las aplicaciones - NUEVO
ISO 27002 - 8.27 : Arquitectura de sistemas seguros y principios de ingeniería - NUEVO
ISO 27002 - 8.28 : Codificación segura
ISO 27002 - 8.29 : Pruebas de seguridad en el desarrollo y la aceptación
ISO 27002 - 8.30 : Desarrollo externalizado
ISO 27002 - 8.31 : Separación de los entornos de desarrollo, prueba y producción
ISO 27002 - 8.32 : Gestión del cambio
ISO 27002 - 8.33 : Información de pruebas
ISO 27002 - 8.34 : Protección de los sistemas de información durante la auditoría y las pruebas - NUEVO


Principales errores a la hora de abordar la nueva norma ISO27001


Asumir que es diferente : Asumir que es muy diferente y entrar en pánico. Preocupar a la organización indebidamente y buscar un presupuesto amplio para algo que fundamentalmente no es diferente a lo que ya se tiene o en lo que ya se está trabajando.

Pagar a consultores para que calculen el impacto : Pagar a consultores para que nos digan que no ha cambiado fundamentalmente nada cuando puedes comprar la norma tú mismo, leerla y llegar a esa conclusión en unos 15 minutos. O fiarte algo de mi

Top News