Junto con las actualizaciones y el cambio de nombre en el estándar ISO/IEC 27001 en su versión 2022 (Seguridad de la Información, Ciberseguridad y Protección de la privacidad – Sistema de Gestión de la Seguridad de la Información), el estándar fue objeto de actualizaciones y cambios para adecuar los controles de seguridad de la información a los temas de “Ciberseguridad” y “Protección de la privacidad”, sin dejar de lado el aumentar la seguridad de la información en los otros temas relevantes como son la empresa, el personal, los proveedores y lo referente a las áreas de TI y Sistemas de Información.
El estándar ISO/IEC 27001 2022 aplica para todo tipo de empresas y tamaño, sean públicas o privadas, siendo auditables y certificables los capítulos del 4 al 10. No se puede excluir capítulo alguno ni ninguno de sus temas o incisos, en cambio, para los controles de seguridad de información, listados en el “Anexo A”, las organizaciones deben indicar cuáles de los controles les aplican y cómo demuestran su cumplimiento, así como indicar cuáles de los controles no le aplica y dar la justificación para la “no aplicabilidad”. Lo anterior deberá ser expresado en el documento “Declaratoria de Aplicabilidad”.
El ”Anexo A” es un reflejo del estándar ISO/IEC 27002 2022 y es donde se muestra los controles de seguridad de información.
Beneficios de implementar un Sistema de Gestión de Seguridad de la Información
Cambios relevantes en el “Anexo A” – ISO/IEC 27002:2022 – Código de prácticas para los controles de seguridad de la información.
Cambia en su estructura
• Antigua estructura: Categoría de controles – Objetivo de Control – Controles
• Nueva estructura: Categoría – Controles.
La nueva versión agrupa en 4 las “categorías”, sustituyendo las anteriores 14 “categorías”.
Nuevas categorías:
• Controles organizacionales (37 controles)
• Controles orientados a las personas (8 controles)
• Controles físicos (14 controles)
• Controles tecnológicos (34 controles)
Resumen del comparativo:
Versión 2013 = 10 CAPÍTULOS; 14 CATEGORÍAS; 35 OBJETIVOS DE CONTROL y 114 CONTROLES.
Versión 2022 = 10 CAPÍTULOS; 4 CATEGORÍAS y 93 CONTROLES.
Controles suprimidos: 1 (eliminación de activos)
Controles nuevos: 11 Nuevos controles
- Once (11) nuevos controles
- Control organizacional 5.7 Inteligencia de amenazas
- Control Organizacional 5.23 Seguridad de la información para uso de servicios en la nube
- Control organizacional 5.30 Preparación de las TIC para la continuidad del negocio
- Control Físico 7.4 Monitoreo de Seguridad Física
- Control Tecnológico 8.9 Gestión de la configuración
- Control Tecnológico 8.10 Eliminación de Información
- Control Tecnológico 8.11 Enmascaramiento de datos
- Control Tecnológico 8.12 Prevención de fuga de datos
- Control Tecnológico 8.16 Actividades de seguimiento (redes, sistemas, aplicaciones)
- Control Tecnológico 8.23 Filtrado web
- Control Tecnológico 8.28 Codificación segura
- Control eliminado: Eliminación de activos (8.3.2)
ANEXO A – Controles organizacionales (principales cambios)
- Roles y responsabilidades dentro de la seguridad de la información.
- Separación de responsabilidades.
- Preparación para la continuidad del negocio de las TICs.
- Información sobre amenazas.
- Seguridad de la información en la gestión de proyectos.
- Clasificación, etiquetado y transferencia de la información.
- Seguridad de la información en las relaciones con proveedores / cadena de suministro de TI & TICs / servicios en la nube.
- Derechos de propiedad intelectual & Privacidad y protección de la información personal identificable (PII).
ANEXO A – Controles sobre las personas (principales cambios)
- Proyección – Antecedentes de los candidatos.
- Términos y condiciones de empleo.
- Concientización, educación y formación en seguridad de la información.
- Proceso disciplinario.
ANEXO A – Controles sobre los aspectos físicos (principales cambios)
- Perímetros de seguridad física.
- Vigilancia de la seguridad física.
- Protección frente a amenazas físicas y medioambientales (continuidad del negocio, DRP).
- Trabajar en zonas seguras.
- Seguridad de los activos fuera de las instalaciones.
ANEXO A – Controles sobre los aspectos tecnológicos (principales cambios)
- Dispositivos de punto final de usuario.
- Gestión de la capacidad (disponibilidad o rendimiento de los sistemas: HW & SW).
- Gestión de vulnerabilidades técnicas.
- Redundancia de las instalaciones de procesamiento de información.
- Gestión del cambio (infraestructura y tratamiento de la información).