Cambios en la versión 2022 de la Norma ISO/IEC 27001

¿Cómo surge la Norma ISO/IEC 27001?

Después de que esta norma aparece en 1990 como un estándar de seguridad, la Organización de Estándares Internacionales la publica como ISO 17799 al inicio de la década de los 2000. Y, cinco años después, cambia su nombre a ISO 27001.

Es así como esta norma ha pasado por tres revisiones hasta llegar a la actual, misma que fue publicada en febrero 2022 y cuyo periodo de transición para las empresas se espera que finalice en octubre de 2025.

Cada organización que cuente con este estándar o quiera implementarlo, debe conocer los cambios que implicó la nueva versión:

1. a) Nuevo nombre de la norma de “Código de prácticas para los controles de seguridad de la información” a “Código de prácticas para los controles de seguridad de la información, ciberseguridad y protección de la privacidad”.
2. b) Nueva nomenclatura y estructura al cambiar de 14 dominios a sólo 4 grandes dominios (organizacionales, físicos, tecnológicos y de personas).
3. c) Reducción de 114 a 93 controles (11 nuevos): 

1. Inteligencia de amenazas
2. Seguridad de la información para el uso de servicios en la nube
3. Preparación de las TIC para la continuidad del negocio
4. Monitoreo de la seguridad física
5. Gestión de la configuración
6. Eliminación de información
7. Enmascaramiento de datos
8. Prevención de fuga de datos
9. Monitoreo de actividades
10. Filtrado Web 
11. Codificación segura

1. d) Los cambios en las cláusulas son los siguientes:

• Cláusula 4. Al Identificar el contexto interno y el entorno de la organización, se debe considerar el ciberespacio. Al Identificar grupos de interés, incluir grupos que estarán contribuyendo con el control de la privacidad y la ciberseguridad. 
• Cláusula 5. Incluir en la Política de Seguridad de la Información la ciberseguridad y protección de la privacidad.
• Cláusula 6. En la gestión de riesgos considerar activos personales y del ciberespacio. Además de planificar los cambios que se implementarán.
• Cláusula 7. Considerar los recursos para cubrir privacidad y ciberseguridad.
• Cláusula 8. Sin modificación.
• Cláusula 9. Monitorear los nuevos controles.
• Cláusula 10. La mejora debe considerar cambios tecnológicos en el ciberespacio.

El principal motivo de actualización es adaptarse a la nueva realidad de trabajo de muchas empresas alrededor del mundo. Y en esta dinámica el trabajo a distancia y el control de nuevos ciberataques, ocupan un lugar importante.

Toma en cuenta las 4 acciones para la versión 2022 de la Norma ISO/IEC 27001

Ante los cambios, las principales acciones que se esperan por parte de las empresas son las siguientes:

1. Actualizar el proceso de tratamiento de riesgos considerando los nuevos controles.
2. Actualizar la declaración de aplicabilidad.
3. Modificar políticas y procedimientos existentes.
4. Incluir métricas e indicadores de seguridad.

¿Tienes dudas o te gustaría obtener más información? 

En Itera podemos brindarte servicios y soluciones de consultoría sobre asuntos de ciberseguridad, nube y norma ISO/IEC 27001.

Contacta con un especialista:

seguridad@iteraprocess.com