NUEVA-ISO-27001-2022
Posted by on | Featured

El pasado 25 de octubre se publicó la nueva ISO 27001:2022.

Su anterior versión era del año 2013. Por lo que han pasado años en los que nuestra forma de vivir y trabajar han cambiado, especialmente desde la pandemia, con nuevas maneras de trabajar las cuáles han tenido un impacto positivo gracias, entre otros, al trabajo remoto y la democratización de la nube.

Por este motivo, entre otros, era necesaria una revisión del estándar de Seguridad de la Información que ha sufrido varios retrasos pero por fin está lista para asumir los retos y desafíos de un mundo en el que las empresas y corporaciones están más expuestas.

¿Por qué era necesaria esta revisión de la ISO 27001?

Nuestra nueva “manera de vivir” ha traído también nuevos riesgos. Ahora el perímetro de seguridad de nuestras empresas se ha extendido a los hogares de las personas que trabajan en ellas, por lo que nuestros Sistemas de Gestión de Seguridad de la Información, SGSI, deben tener en cuenta estos riesgos.

Por otro lado, la industria de la ciberseguridad ha cambiado vertiginosamente en esta última década. Actualmente existen conceptos y herramientas indispensables que hace nueve años no eran relevantes.

¿Qué ha cambiado en la ISO 27001?

La nueva versión de ISO 27001 está acompañada de un documento muy relevante que es el Anexo A. El Anexo A es un documento normativo que sirve como guía para implementar los controles de seguridad específicos de ISO 27001. La norma ISO 27002, que ya tiene su versión de 2022, desarrolla la guía de implementación de este Anexo.

incorpora novedades que, en general, pretenden alinear aún más el Sistema de Gestión con el Anexo SL, lo que en la práctica significa un claro interés por promover la integración con otros Sistemas.

Sin embargo, en su estructura y en su forma el estándar no presenta variaciones sustanciales.

Los cambios más significativos son:

Contexto de la organización

CLAÚSULA 4

Ahora, el capítulo 4 de la norma solicita identificar requisitos “relevantes” de las partes interesadas. No todos los requisitos identificados serán abordados por el Sistema de Gestión de Seguridad de la Información. 

La organización determinará los que necesita abordar. Por otra parte, ahora se incorpora la expresión “procesos necesarios y sus interacciones”.

En la cláusula 4.4. hay un requisito explícito para definir los procesos y sus interacciones. Esto lo alinea con las mejores prácticas de los sistemas de gestión que indican que estos deben de construirse alrededor de los procesos y de sus interacciones.

CLAÚSULA 5

En la cláusula 5.3. se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.

CLAÚSULA 5

Respecto de la cláusula 6.2. ISO 27001 hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.

La cláusula 6.3. nos indica que hay que planificar los cambios del sistema de gestión y que estos se realicen de manera controlada, existiendo un plan de cómo estos se van a implementar y validar.

SECCIÓN 8

En la sección 8 se vuelve a insistir en la gestión por procesos del sistema de gestión de seguridad de la información. En la cláusula 8.1. especifica: “establecer criterios para los procesos y aplicar el control de los mismos.”

En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

En las revisiones por dirección se evaluarán los cambios en las necesidades y expectativas de partes interesadas que son relevantes para el SGSI.

CONCLUSIONES CONTEXTO DE LA ORGANIZACIÓN

Como vemos los cambios en el cuerpo de la nueva versión ISO 27001 son menores, haciendo especialmente hincapié en que los procesos estén claramente definidos junto con sus interacciones. Los cambios más importantes se encuentran dentro del Anexo A y de la ISO/IEC ISO 27002 que desarrollan los controles a aplicar.

Cambios en el Anexo A

Los controles del Anexo A como sabemos no son obligatorios, ya que no todos aplican a todas las organizaciones. 

Eso sí, en la Declaración de Aplicabilidad (SOA) debemos de justificar el porqué no nos aplican. Estos controles se derivan de la norma ISO 27002:2022, que ya se publicó el pasado 15 de febrero, y que incluye orientaciones para la implementación de los mismos.

Proceso de Transición

La fecha exacta de publicación fue el 25 de octubre de 2022, lo que significa que las organizaciones contarán con tres años – hasta octubre de 2025 -, para ajustar sus Sistemas de Gestión al nuevo estándar y certificarlo.

Respecto de la transición a la nueva versión ISO 27001 como siempre se establecen una serie de etapas:

  • La norma ha sido publicada el 25 de octubre de 2022.
  • Todas las entidades de certificación deben de pasar por un proceso de acreditación bajo la nueva versión del estándar, por lo que hasta que éstas no estén preparadas, no podremos certificar nuestro SGSI bajo ISO 27001:2022. Se estima que las certificadoras estén listas a partir del primer trimestre de 2023.
  • Las empresas podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de octubre de 2023 (doce meses después de la publicación de la nueva versión)
  • Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025 (tres años después de la publicación de la nueva versión).

Las auditorías de transición se focalizarán en:

  • Análisis de brechas de seguridad de ISO/IEC 27001:2022, y la necesidad de cambios en el SGSI del cliente.
  • La actualización de la declaración de aplicabilidad (SOA).
  • La actualización del plan de tratamiento de riesgos, si aplica.
  • La implementación y la efectividad de los nuevos controles y las modificaciones introducidas por la organización.

¿Cómo Proceso Social puede ayudarte?

  • Si vas a comenzar un proceso de certificación o estás es un estadío inicial, en función de tus objetivos, estudiaremos en cada caso si realizar una certificación inicial bajo la versión de 2022 o 2023.
  • Si tu empresa ya está certificada, comenzaremos un proceso de transición, planificando en cuál de las auditorías anuales enfrentaremos el cambio, sobre todo teniendo en cuenta el qué periodo del ciclo nos encontramos (si es una auditoría de seguimiento o de renovación).

Puedes ampliar información y contactar con nosotros sin compromiso desde pidiendo una valoración gratuita de tu caso para la 27001

Comments are closed.