Relación cambios ISO 27001 versión 2013 & 2022

¡Hola de nuevo!
Sabemos que, como nosotros, siempre quieres estar a la vanguardia en lo que respecta a tu conocimiento. Por ello, a continuación podrás encontrar los cambios que dan lugar a la nueva versión del estándar:

Clausulas 4 a 10 de la norma no cambian. Estas cláusulas representan la parte principal, y son las siguientes: Alcance, partes interesadas, Contexto, Política de seguridad de la información, manejo de riesgos, recursos, entrenamiento y concientización, comunicaciones, control documental, monitoreo y medición, auditoría interna, revisión por la alta dirección y acciones correctivas.

Solamente los controles de seguridad listados en la norma ISO 27001 Anexo A y en la norma ISO 27002 serán actualizados. Estos cambios buscan simplificar los controles (Pasan a ser 93, previamente 114). Existen 11 nuevos controles:
- Información de seguridad para el uso de servicios en la nube.
- Controles alrededor de la inteligencia de amenazas.
- Presteza en ICT (Information and communication technology) para la continuidad del negocio.
- Monitoreo de la seguridad física.
- Gestión de la configuración.
- Eliminación de la información.
- Enmascarado de datos.
- Prevención de fuga de información.
- Actividades de monitoreo.
- Filtrado Web.
- Codificación de seguridad.
Los 31 controles de diferencia han sido integrados en otros controles. El único control completamente eliminado ha sido “Remoción de activos”.

IS0 27002 incluye lineamientos de adopción para los controles de seguridad, estos, sin embargo, no son de obligatorio cumplimiento para la adopción de la norma.

Los siguientes términos han sido removidos o reemplazados: “Code of practice” (Traducido de manera gruesa a código de practica), “Control objectives” (Traducido de manera gruesa a objetivos de control). Otros términos relevantes son:
Password control (Control de contraseñas) ha sido reemplazado por Identity and Autenthication management (Gestión de identidad y autenticación); este cambio tiene como fin reconocer otros métodos de autenticación.
Mobile devices (Dispositivos móviles) ha sido reemplazado con el termino User end point devices (Dospositivos de punto final de usuario); este cambio se hace con el fin de reflejar diferentes dispositivos de acceso a la red.

Manejo de activos: En el estándar 2013 era requerido mantener un inventario de activos relacionados con la información de seguridad. En la actualización 2022 la información en si misma es un activo. Es necesario entonces crear un inventario de la información para poder considerar controles de seguridad; esto de acuerdo con los diferentes tipos de información.
Se incluyen hashtags en la nomenclatura de los controles.
Los controles tendrán atributos en lo relativo a ciberseguridad. (Tipo de control, Clasificación, Concepto de ciberseguridad, dominios de seguridad y aptitudes operacionales).
Te sugerimos las siguientes para la adopción de la norma ISO 27001 en caso de tener la norma en su versión 2013
- Actualizar el procedimiento de tratamiento de riesgos con nuevos controles
- Actualizar la declaración de aplicabilidad
- Actualizar la declaración de aplicabilidad

Recuerda que todavía tienes tiempo. No es necesario correr. Si estas a punto de recertificarte puedes tomar la certificación para la norma ISO en su versión 2013, y luego, con calma, hacer los cambios pertinentes a la actualización; se espera un tiempo de transición de aproximadamente 2 años. Si tienes el tiempo para esperar, entonces puedes darte el lujo de tomártelo con calma.
¡Esperamos que esta información ayude a saciar tus ganas de saber!

Pero no somos egoístas, si requieres más información puedes consultar los siguientes enlaces: