Como seguramente ya sabrás, la ISO 27001 y su anexo A, es decir la ISO 27002, se actualizó durante el 2022, ¡y en este artículo te contaremos todo al respecto!
💡 Recordemos que la ISO 27001 nos indica las cláusulas y requisitos de seguridad, mientras que la ISO 27002 nos proporciona los controles técnicos a implementar.
A continuación te compartimos cuáles son los requisitos y controles con ajustes, el detalle de los cambios aplicados y en qué consiste la nueva estructura del anexo A.
27001 | Actualizaciones en sus requisitos
Vamos a utilizar la siguiente nomenclatura para identificar fácilmente cuál es el tipo de cambio o ajuste realizado:
⚡: Ajustes o adición de información.
🚀: Nuevo inciso o control.
⛔: Eliminación de información.
⚡Requisito 4.2 - Entendimiento de las necesidades y expectativas de las partes interesadas
Cambios: Se añade el inciso c), el cual solicita que se identifiquen las necesidades y expectativas que se abordan a través del SGSI.
⚡Requisito 4.4 - Sistema de gestión de la seguridad de la información
Cambios: Se añade que el SGSI debe incluir además, los procesos necesarios y sus interacciones.
⚡Requisito 5.3 - Roles, responsabilidades y autoridades en la organización
Cambios: Se le da mayor énfasis a la importancia de que los roles y responsabilidades deben ser asignados y comunicados dentro de la organización.
⚡Requisito 6.2 - Objetivos de seguridad de la información y planificación para su consecución
Cambios: Se añaden los incisos f) y g), los cuales solicitan que los objetivos de seguridad sean actualizados según corresponda (se entiende con esto que deben ser monitoreados), y que deben estar disponibles como información documentada.
🚀Requisito 6.3 - Planificación de cambios
Descripción: Cuando la organización determine que se deben realizar cambios en el sistema de gestión de seguridad de la información, estos deben llevarse a cabo de manera planificada.
⛔Requisito 7.4 - Comunicación
Cambios: Se elimina el inciso e), el cual solicitaba la definición de los procesos por los que se efectuaría la comunicación.
⚡Requisito 8.1 - Planificación y control operacional
Cambios:
En lugar de hacer referencia particularmente al apartado 6.1 y 6.2, ahora menciona que se debe considerar todo el capítulo 6.
Añade que la información documentada debe estar disponible en la medida necesaria.
Ahora considera no solo “procesos contratados externamente” sino también productos y servicios. Además, especifica que deben ser solo aquellos que son relevantes para el SGSI.
⚡Requisito 9.1 - Seguimiento, medición, análisis y evaluación
Cambios: Se añade al inciso b) que menciona que los métodos seleccionados deben producir resultados comparables y reproducibles para que se consideren válidos. Esto anteriormente se encontraba como una nota y no era parte del inciso como tal.
⚡Requisito 9.2 - Auditoría interna
Cambios: Se dividió la información en subrequisitos, es decir que ahora hay 9.2.1 General y 9.2.2 Programa de auditoría interna, y cambia un poco la estructura de la información (pero lo solicitado es lo mismo).
⚡Requisito 9.3 - Revisión por la dirección
Cambios:
Se dividió la información en subrequisitos, es decir que ahora hay 9.3.1 General, 9.3.2 Insumos para la revisión por la dirección y 9.3.3 Resultados de la revisión por la dirección.
El inciso c) en la nueva versión se convierte en el inciso d).
El inciso c) ahora indica que se deben considerar también los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.
⚡Cláusula 10 - Mejora
Cambios: Se ajusta el orden de los requisitos. En la versión 2013 se tenía como:
10.1 No conformidad y acciones correctivas
10.2 Mejora continua
Pero en la versión 2022 se cambian a:
10.1 Mejora continua
10.2 No conformidad y acciones correctivas
Como podrás ver, mayormente estos cambios afectan la estructura y formato de las cláusulas, y dan más relevancia a ciertos puntos, pero las bases son las mismas.
Nuestro template de Política de SGSI ya se encuentra actualizado y alineado con todos estos cambios para mantener tu cumplimiento normativo ✨.
27002 | Actualizaciones en sus controles
Antes de contarte sobre los cambios, debes conocer la nueva estructura del anexo A, la cual ahora categoriza los controles en temas y atributos.
Temas
Podemos definir el tema como el aspecto o enfoque principal del control para comprender qué es lo que te está ayudando a proteger. La norma nos indica cuatro temas:
Controles organizativos
Controles de personas
Controles físicos
Controles tecnológicos
A continuación te mostramos la cantidad total de controles por cada tema:
Organizativos 🗂️ | Personas 👫 | Físicos 🏢 | Tecnológicos 💻 |
37 | 8 | 14 | 34 |
💡 En esta nueva versión 2022 de ISO 27001, en total tenemos 93 controles, mientras que en la versión pasada eran 114. ¡Sigue leyendo para conocer más sobre esto!
La nomenclatura que utilizan los controles (es decir su ID) es la siguiente:
Controles organizativos: Comienzan con 5.
Controles de personas: Comienzan con 6.
Controles físicos: Comienzan con 7.
Controles tecnológicos: Comienzan con 8.
Atributos
Además de los temas, en esta nueva versión cada control ahora cuenta con cinco atributos que lo definen, los cuales son tipo de control, propiedades de seguridad de la información, conceptos de ciberseguridad, capacidades operativas y dominios de seguridad.
Tipo de control: Indica cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información.
Preventivo: Control destinado a prevenir la ocurrencia de un incidente de seguridad de la información.
Detectivo: Control que actúa durante la ocurrencia de un incidente de seguridad de la información, es decir que lo detecta.
Correctivo: Control que actúa después de la ocurrencia de un incidente de seguridad de la información, es decir que lo corrige, lo elimina.
Propiedades de seguridad de la información: Indica qué característica de la información contribuye a preservar el control.
Confidencialidad: Propiedad por la que se garantiza que la información sea accesible únicamente a personal autorizado.
Integridad: Propiedad que asegura la exactitud y fiabilidad de la información.
Disponibilidad: Propiedad que mantiene la información accesible en todo momento.
Conceptos de ciberseguridad: Corresponde al objetivo principal del control en términos de acciones de seguridad.
Identificar
Proteger
Detectar
Responder
Recuperar
Capacidades operativas: Corresponde a los aspectos o categorías de seguridad generales que forman parte de la descripción del control.
Gobernanza
Gestión de activos
Protección de la información
Seguridad de los recursos humanos
Seguridad física
Seguridad de sistemas y redes
Seguridad de aplicaciones
Configuración segura
Identidad y control de acceso
Amenazas y gestión de vulnerabilidades
Continuidad
Seguridad en la relación con proveedores
Cumplimiento y legal
Gestión de eventos de seguridad de la información
Aseguramiento de seguridad de la información
Dominios de seguridad: La norma establece cuatro dominios que consisten en:
Gobernanza y ecosistema, que incluye:
Gobernanza de seguridad del sistema de información y gestión de riesgos.
Gestión de la ciberseguridad del ecosistema (incluidas las partes interesadas internas y externas).
Protección, que incluye:
Arquitectura de seguridad de TI.
Administración de seguridad de TI.
Gestión de identidad y acceso.
Mantenimiento de seguridad de TI.
Seguridad física y ambiental.
Defensa, que incluye:
Detección.
Gestión de incidentes de seguridad informática.
Resiliencia, que incluye:
Continuidad de las operaciones.
Gestión de crisis.
Estos atributos nos ayudan a comprender mejor la finalidad del control, para qué nos sirve, cómo podemos implementarlo, las áreas de la organización en las que impacta, y en general nos brinda un contexto más completo sobre él.
Nuestro template de Declaración de ApIicabilidad ya se encuentra actualizado con toda esta información para mantener tu cumplimiento normativo ✨.
Ahora sí, tomando en cuenta la misma nomenclatura que usamos anteriormente, a continuación te contamos los cambios a los controles de ISO 27002.
🚀Nuevos controles organizativos
Control 5.7 - Inteligencia de amenazas
Descripción: Se recomienda que la información relacionada con las amenazas a la seguridad de la información se recopile y analice para producir inteligencia sobre amenazas.
Control 5.23 - Seguridad de la información para el uso de servicios en la nube
Descripción: Es conveniente que los procesos de adquisición, uso, gestión y salida de los servicios en la nube se establezcan de acuerdo con los requisitos de seguridad de la información de la organización.
Control 5.30 - Preparación de las TIC para la continuidad de las actividades
Descripción: La preparación para las TIC se sugiere se planifique, aplique, mantenga y pruebe sobre la base de los objetivos de continuidad de las actividades y los requisitos de continuidad de las TIC.
🚀Nuevos controles físicos
Control 7.4 - Supervisión de la seguridad física
Descripción: Es conveniente que las instalaciones sean monitoreadas continuamente para detectar accesos físicos no autorizados.
🚀Nuevos controles tecnológicos
Control 8.9 - Gestión de la configuración
Descripción: Se recomienda que las configuraciones, incluidas las configuraciones de seguridad, de hardware, software, servicios y redes establezcan, documenten, implementen, supervisen y revisen.
Control 8.10 - Eliminación de información
Descripción: La información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debería eliminarse cuando ya no sea necesaria.
Control 8.11 - Enmascaramiento de datos
Descripción: El enmascaramiento de datos se sugiere utilizar de acuerdo con la política específica del tema de la organización sobre control de acceso y otras políticas relacionadas con temas específicos, y los requisitos comerciales, teniendo en cuenta la legislación aplicable.
Control 8.12 - Prevención de fuga de datos
Descripción: Se recomienda que las medidas de prevención de fugas de datos se apliquen a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.
Control 8.16 - Actividades de seguimiento
Descripción: Las redes, los sistemas y las aplicaciones es conveniente que sean monitoreados para detectar comportamientos anómalos y se sugiere tomar las medidas apropiadas para evaluar posibles incidentes de seguridad de la información.
Control 8.23 - Filtrado web
Descripción: El acceso a sitios web externos se sugiere gestionar para reducir la exposición a contenido malicioso.
Control 8.28 - Codificación segura
Descripción: Los principios de codificación segura se sugiere aplicar al desarrollo de software.
⚡Controles agrupados
Además de los controles nuevos, ISO decidió agrupar aquellos controles que llegaban a ser redundantes para facilitar su implementación, por lo que a continuación te mostramos con una tablita donde se plasman estas agrupaciones:
Control de la versión 2022 | Controles que engloba de la versión 2013 |
5.1 Políticas de Seguridad de la Información | 5.1.1 Políticas de seguridad de la información 5.1.2 Revisión de las políticas de seguridad de la información |
5.8 Seguridad de la información en la gestión de proyectos | 6.1.5 Seguridad de la información en la gestión de proyectos 14.1.1 Análisis y especificación de requisitos de seguridad de la información |
5.9 Inventario de información y otros activos asociados | 8.1.1 Inventario de bienes 8.1.2 Propiedad de los bienes |
5.10 Uso aceptable de la información y otros activos asociados | 8.1.3 Uso aceptable de los activos 8.2.3 Manejo de los activos |
5.14 Transferencia de información | 13.2.1 Políticas y procedimientos de transferencia de información 13.2.2 Acuerdos de transferencia de información 13.2.3 Mensajería electrónica |
5.15 Control de acceso | 9.1.1 Política de control de acceso 9.1.2 Acceso a redes y servicios de red |
5.17 Información de autenticación | 9.2.4 Gestión de la información de autenticación secreta de los usuarios 9.3.1 Uso de la información de autenticación secreta 9.4.3 Sistema de gestión de contraseñas |
5.18 Derechos de acceso | 9.2.2 Aprovisionamiento de acceso de usuarios 9.2.5 Revisión de los derechos de acceso de los usuarios 9.2.6 Eliminación o ajuste de los derechos de acceso |
5.22 Seguimiento, revisión y gestión de cambios de servicios de proveedores | 15.2.1 Supervisión y revisión de los servicios del proveedor 15.2.2 Gestión de cambios en los servicios del proveedor |
5.29 Seguridad de la información durante la interrupción | 17.1.1 Planificación de la continuidad de la seguridad de la información 17.1.2 Implementación de la continuidad de la seguridad de la información 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información |
5.31 Requisitos legales, estatutarios, reglamentarios y contractuales | 18.1.1 Identificación de legislación aplicable y requisitos contractuales 18.1.5 Regulación de controles criptográficos |
5.36 Conformidad con las políticas, reglas y normas de seguridad de la información | 18.2.2 Cumplimiento de políticas y estándares de seguridad 18.2.3 Revisión de cumplimiento técnico |
6.8 Reporte de eventos de seguridad de la información | 16.1.2 Reporte de eventos de seguridad de la información 16.1.3 Reporte de debilidades de seguridad de la información |
7.2 Entrada física | 11.1.2 Controles físicos de entrada 11.1.6 Áreas de entrega y carga |
7.10 Medios de almacenamiento | 8.3.1 Gestión de medios extraíbles 8.3.2 Eliminación de medios 8.3.3 Transferencia de medios físicos 11.2.5 Eliminación de activos |
8.1 Dispositivos de punto final de usuario | 6.2.1 Política de dispositivos móviles 11.2.8 Equipo de usuario desatendido |
8.8 Gestión de vulnerabilidades técnicas | 12.6.1 Gestión de vulnerabilidades técnicas 18.2.3 Revisión de cumplimiento técnico |
8.15 Registro | 12.4.1 Registro de eventos 12.4.2 Protección de la información de registro 12.4.3 Registros de administrador y operador |
8.19 Instalación de software en sistemas operativos | 12.5.1 Instalación de software en sistemas operativos 12.6.2 Restricciones a la instalación de software |
8.24 Uso de criptografía | 10.1.1 Política de uso de controles criptográficos 10.1.2 Gestión de claves |
8.26 Requisitos de seguridad de la aplicación | 14.1.2 Protección de servicios de aplicaciones en redes públicas 14.1.3 Protección de transacciones de servicios de aplicaciones |
8.29 Pruebas de seguridad en desarrollo y aceptación | 14.2.8 Pruebas de seguridad del sistema 14.2.9 Pruebas de aceptación del sistema |
8.31 Separación de los entornos de desarrollo, prueba y producción | 12.1.4 Separación de entornos de desarrollo, pruebas y operativos 14.2.6 Entorno de desarrollo seguro |
8.32 Gestión de cambios | 12.1.2 Gestión de cambios 14.2.2 Procedimientos de control de cambios del sistema 14.2.3 Revisión técnica de aplicaciones después de cambios en la plataforma operativa 14.2.4 Restricciones sobre cambios en paquetes de software |
En conclusión, tenemos 11 nuevos controles y 24 controles agrupados 📝.
Y seguro te estarás preguntando, ¿cómo voy a cumplir con esto? ¡No te preocupes! Todos nuestros recursos de Soporte (artículos, templates, acompañamiento) y nuestra plataforma estarán alineados a esta actualización para ayudarte a cubrir los nuevos requerimientos y hacer que tu proceso de transición sea lo más fácil y eficiente posible.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.