A finales de 2022, la norma internacional ISO 27001:2022 sustituye a la última versión de 2013. El objetivo de este texto es (re)definir las normas y requisitos para establecer el sistema de gestión de la seguridad de la información de su empresa. Ampliamente utilizada en todo tipo de organizaciones, este cambio de versión suscita inevitablemente preguntas sobre los cambios que implica. ¿Cuáles son los principales cambios de esta versión? ¿Y qué impacto puede esperar que tengan en su organización?
ISO 27001: norma internacional dedicada a la seguridad de la información
Publicada en 2005 y revisada en 2013, la norma internacional ISO 27001:2013 establece el marco de referencia para establecer un sistema de gestión de la seguridad de la información (SGSI). Esta norma aborda la seguridad desde el prisma de la gestión de los riesgos para sus datos, basándose en un concepto sencillo que puede resumirse en una frase: "prevenir antes que curar".
En general, antes de este texto, las organizaciones aplicaban medidas de seguridad en respuesta a incidentes, pero no disponían de una herramienta de evaluación para definir los requisitos de mantenimiento operativo y de seguridad de sus SI.
Al definir los requisitos de seguridad que permiten responder a las amenazas de intrusión, pérdida, robo o alteración de los datos, se considera, junto con la norma 27035 (Gestión de Incidentes de Seguridad de la Información), un referente en la gestión de la seguridad de la información.
Según la Organización Internacional de Normalización (ISO), " ayuda a las organizaciones a proteger sus activos de información, lo que es vital en un mundo cada vez más digitalizado ". Dividida en requisitos de conformidad, esta norma de calidad abarca desde la reglamentación sobre protección de datos personales hasta elacceso seguro a edificios e infraestructuras informáticas.
Pero ha pasado casi una década desde su última actualización en 2013. Desde entonces, las amenazas han evolucionado considerablemente. Por un lado, nuestro estilo de vida y nuestra relación con la tecnología digital han dado un vuelco, proporcionando una superficie cada vez más amplia para los ataques:
- rápida aceleración de la transformación digital;
- adopción del teletrabajo y de métodos de trabajo híbridos a toda velocidad ;
- predominio de la nube, con la necesidad de estar conectado en todas partes, todo el tiempo...
Al mismo tiempo, los ciberataques van en aumento (+125% de los ataques en 20211), con atacantes cada vez más profesionales y técnicas de compromiso cada vez más extendidas. Nunca ha sido tan fácil llevar a cabo un ataque: kits de ransomware listos para usar, franquicias de atacantes, etc. Las redes de ciberdelincuentes se han estructurado y comercializan malware y acceso inicial bajo demanda.
Esta evolución hizo cada vez más compleja la protección de las organizaciones. La norma ISO tuvo que adaptarse para hacer frente a esta nueva realidad. Y todo empezó con un cambio en el nombre de la norma. El propio título de la norma "Tecnologías de la información" pasó a ser " Seguridad de la información, ciberseguridad y protección de la intimidad " .
La nueva versión ISO 27001:2022
¿Qué impacto tendrá este nuevo texto en su organización? ¿Qué influencia tendrá en sus obligaciones de conformidad? ¿Se cuestionará su certificación ISO 27001? He aquí algunas respuestas.
En general, los cambios introducidos en el contenido de la norma contribuyen a mejorar el rendimiento de su SGSI. Pero algunos de los cambios son simplemente, en palabras de Chris Hall, experto en ISO 270012, " elementos que debemos aplicar para mantener la certificación ISO 27001 ". Así pues, ¡el escenario está preparado!
Richard PlantierExperto en GRC en Tenacy, comenta el cambio en el título de la norma y señala que: " Este cambio léxico no refleja ningún requisito adicional relativo a los datos personales o la privacidad. En cambio, sí indica que el enfoque es ahora un poco más técnico, como sugiere la aparición de la nube, la inteligencia de amenazas y la codificación segura (entre otros) entre los controles enumerados en ISO27002. "
También se han producido algunos cambios en la terminología:
- " teletrabajo " se sustituye por " teletrabajo ";
- "procedimiento documentado se convierte en" información documentada.
Pero más allá de la redacción, esta versión anuncia verdaderos cambios estructurales.
Los cambios de esta nueva versión de la norma afectan principalmente al anexo A, que a su vez se basa en la nueva versión de la norma ISO 27002:2022 publicada en febrero de 2022. Este anexo ya no se considera una lista detallada y exhaustiva.
En el texto de la versión ISO 27001:2013, las medidas se dividían en 14 áreas diferentes. Ahora se han fusionado en 4 categorías.
- Controles relacionados con las personas Trabajo a distancia, confidencialidad, no divulgación de información, filtrado, etc.
- Controles organizativos Políticas de información de la organización, uso de servicios en la nube, uso de activos, etc.
- Controles físicos vigilancia de la seguridad, medios de almacenamiento, mantenimiento, seguridad de las instalaciones, etc.
- Controles tecnológicos autenticación, cifrado, prevención de fuga de datos....
Otro aspecto destacado fue la aparición de 11 nuevos controles que cubren los siguientes aspectos:
- inteligencia sobre amenazas (A.5.7),
- seguridad de la información alojada en la nube (A.5.23),
- preparar las TIC para la continuidad de las actividades (A.5.30),
- vigilancia de la seguridad física (A.7.4),
- actividades de seguimiento / vigilancia (A.8.16),
- Filtrado web (A.8.23),
- diseño de código seguro (A.8.28),
- gestión de la configuración (A.8.9),
- supresión de información (A.8.10),
- enmascaramiento de datos (A.8.11),
- prevención de la fuga de datos (A.8.12).
A pesar de la adición de controles, el número de dominios se redujo de 114 a 93 como consecuencia de consolidaciones y fusiones.
¿Qué impacto concreto tendrá en la organización?
La evolución de la norma hace hincapié en los procedimientos, criterios y controles, que se reiteran como parte integrante del SGSI. Ahora los objetivos deben documentarse y supervisarse, y los cambios en el SGSI deben planificarse.
En la práctica, para que el SGSI cumpla esta nueva norma ISO, las organizaciones tendrán que pasar por una fase de transición durante los próximos dos o tres años.
Como recordatorio, estar certificado significa cumplir todos los requisitos de la norma, especialmente las cláusulas 4 a 10. Además, debe haber sido auditado por una parte externa para garantizar que su enfoque es sostenible. Además, debe haber sido auditada por una parte externa para garantizar que su enfoque es sostenible. Las organizaciones que ya cuentan con la certificación ISO 27001:2013 dispondrán de dos años para adaptarse a la nueva versión de 2022.
El principal cambio es la declaración de aplicabilidad (DoA) y las pruebas de comparación entre las dos versiones de ISO 27001. Es necesario planificar una serie de tareas:
- actualización de reglamentación y traducción a requisitos de certificación;
- revisión del plan de gestión de riesgos;
- revisión del plan de comunicación de la CMSI ;
- actualizar los procedimientos y listas de comprobación utilizados para las auditorías internas o externas.
Tanto si eres una empresa certificada como si no, tendrás que evaluar las adaptaciones necesarias para tus herramientas de seguridad de terceros. Afortunadamente, en Tenacy, nos adelantamos a los acontecimientos y los requisitos de reglamentación ya están actualizados en la plataforma (¡y usted no tiene que hacer nada!). Puede estar seguro de que los registros que utiliza para demostrar la conformidad cumplen los nuevos requisitos.
En conclusión
Como sabe, adoptar un enfoque ciberresistente significa ser consciente de las amenazas y vulnerabilidades de su sistema de información. La aplicación y el cumplimiento de esta nueva versión de la norma ISO 27001 se irán introduciendo progresivamente a partir de su entrada en vigor.