El 15 de febrero se ha publicado por fin la nueva ISO 27002:2022. Teníamos disponible desde hace unos meses el borrador del que esta publicación definitiva poco difiere.
Lo primero que hay que aclarar es que la parte marco de la norma (la ISO 27001) que contiene el detalle de las clausulas 4-10 no sufre ningún cambio, aunque se actualizarán los controles del anexo A (pues la ISO 27002 desarrolla la guía de implementación de ese Anexo). La fecha de actualización de la ISO 27001 todavía no se ha hecho pública.
Pasemos a confirmar los cambios respecto a la versión anterior del 2013 (cuya correspondencia entre ambas versiones aparece en el Anexo B):
- Los controles están detallados en 4 dominios o secciones en vez de en 14 cómo la versión anterior.
- Tambien el número de controles ha descendido de 114 a 93, simplificando la implementación. Hay que destacar que ninguno ha sido eliminado (sino todo lo contrario, se han añadido controles nuevos) y se han agrupado muchos de ellos.
- Se incluyen 11 controles nuevos relativos a gestión en la nube (como también refleja el borrador del Esquema Nacional de Seguridad (ENS)) y controles para mitigar las amenazas actuales.
- A nivel de control, se incluyen dos nuevos elementos: el uso de atributos asociados a cada control (que se detallan en el Anexo A de la ISO 27002) que ya aparecían en el marco NIST y la fundamentación o el por qué es necesario aplicar cada control.
Si profundizamos en los detalles de los cambios:
- Los 4 dominios son: Controles Organizacionales (Clausula 5), Controles relativas al Personal (Clausula 6), Controles físicos (Clausula 7) y Controles tecnológicos (Clausula 8). Esta estructura simplificada ayuda a comprender mejor la aplicabilidad y la asignación de responsabilidades.
- Lo controles han sufrido los siguientes cambios:
- Los 11 nuevos controles:
- 5.7 Inteligencia de amenazas
- 5.23 Seguridad de la información para el uso de servicios en la nube
- 5.30 Preparación de las TIC para la continuidad de negocio
- 7.4 Supervisión de la seguridad física
- 8.9 Gestión de la configuración
- 8.10 Borrado de información
- 8.11 Enmascaramiento de datos
- 8.12 Prevención de fugas de información
- 8.16 Actividades de monitorización
- 8.23 Filtrado web
- 8.28 Codificación segura
- 57 controles se han agrupado, simplificando la estructura. Por ejemplo, los 14 controles de control de acceso que formaban parte del dominio 9 en la versión anterior, en la versión 2022 están agrupados en 9 controles; 4 como parte de la cláusula 5(Controles organizacionales) y 5 controles dentro de la cláusula 8 (Controles tecnológicos).
- 23 de esos controles han sido renombrados, facilitando su entendimiento y comprensión
- 1 control, el control “18.2.3 – Comprobación del cumplimiento técnico”, se ha separado en dos: “5.36 Conformidad con políticas, reglas y estándares de seguridad de la información” y “8.8 Gestión de vulnerabilidades técnicas”.
- Los 11 nuevos controles:
- Los atributos incorporados a nivel de control son los siguientes:
- Tipos de control: Preventivo, Detectivo y Correctivo.
- Dimensiones: Confidencialidad, Integridad y Disponibilidad.
- Conceptos de ciberseguridad: Identificar, Proteger, Detectar, Responder y Recuperar.
- Capacidades Operativas: Gobernanza, Gestión de Activos, Protección de la Información, Seguridad de Recursos Humanos, Seguridad Física, Seguridad de Sistemas y Redes, Seguridad de Aplicaciones, Configuración Segura, gestión de identidades y accesos, gestión de amenazas y vulnerabilidades, continuidad, Seguridad de las relaciones con proveedores, Legal y Cumplimiento, gestión de eventos de seguridad de la información y Aseguramiento/garantía de seguridad de la información.
- Dominios de seguridad: Gobernanza y ecosistema, Protección, Defensa y Resiliencia.
Por lo tanto, la adaptación de las empresas que estén certificadas en la ISO 27001 requerirán un esfuerzo conmensurado, limitado a asegurar el cumplimiento con esos 11 controles nuevos y a la reorganización de los controles para adaptarlos a la nueva reestructuración: revisando el tratamiento de riesgos para asegurar que está alineado a la nueva estructura y numeración, alinear la lista de controles en la declaración de aplicabilidad (SOA) y la actualización de políticas/procedimientos con dichas referencias.
Como en todos los cambios importantes, hay que considerar que habrá un periodo de transición, durante el cual el certificador no exigirá los cambios, pero si podrá confirmar que la compañía está en proceso de abordar esa adaptación.
Para las empresas que estén actualmente en proceso de implementación de la certificación ISO 27001 o estén pensando en certificarse cuanto antes, aunque bien es cierto que todavía no se conoce la fecha de publicación de la ISO 27001, y por tanto, se certificarán con la estructura de la actual ISO 27001, se puede dejar preparado y mapeado los cambios y agrupaciones que van a sufrir los controles y eso sí, ir asegurando la implementación de los 11 nuevos controles (aunque no serán obligatorios hasta que se formalice la publicación de la nueva ISO 27001).
Carmen Mª Sánchez – Guijo
Equipo GRC