Cómo afecta los cambios en la norma ISO 27001 e ISO 27002

Por Martín Gonzales, Senior Manager Forensics, Compliance & Technology en CPA Consultores & Robalino Law.

Desde un par de años atrás se conoció que el estándar ISO 27001 del Sistema de Gestión de Seguridad de la Información iba a sufrir cambios, y bueno, ahora ya se conoce el impacto y los ajustes que se tendrán que implementar. Desde mi punto de vista, los cambios son más de forma que de fondo, puesto que el estándar como tal se ha organizado de otra manera, algunos controles se han fusionado y en otros casos se han creado nuevos controles.

Esto refleja que, si su organización viene aplicando de forma preventiva y proactiva los controles de seguridad de la información, el impacto en seguir el nuevo estándar será menor; en cambio, si su organización se limita a seguir el estándar por “cumplir” seguramente tendrá que hacer un importante esfuerzo para adecuarse a esta actualización.

Como siempre he dicho, los estándares son buenos porque permitan estructurar y gestionar las iniciativas que una organización ejecuta por convicción y porque siente la importancia de hacerlo, pero por otro lado pueden ser un compromiso muy alto para aquellas empresas que lo hacen por puro “cumplimiento” (“cumplo, pero miento” porque lo tengo documentado y digo que lo hago, pero en la realidad no se hace nada o no es importante para la organización).

A modo de resumen puedo indicar que la parte principal de ISO 27001, es decir, las cláusulas 4 a 10 no cambian. Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concienciación, la comunicación, el control de documentos, el monitoreo y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas. Solo se actualizan los controles de seguridad enumerados en el Anexo A de la norma ISO 27001 y en la norma ISO 27002.

En general, los cambios son solo moderados y se hicieron principalmente para simplificar la implementación. Aquí van los principales cambios en ISO 27001 y 27002 para este 2022

1. A diferencia de ISO 27002:2013 que tiene catorce capítulos, la actualización de ISO 27002:2022 está dividida en cuatro capítulos:

2. El número de controles del Anexo A disminuyó de 114 a 93; sin embargo, es importante indicar que aun considerando que el número de controles se ha reducido; no se excluyen los controles porque algunos se han fusionado;
3. Se han introducido 11 nuevos controles que se fusionaron con los existentes, reduciendo así el número total. Aquí es importante indicar que la adición de estos nuevos controles, actualizaciones y fusión de controles reflejan las prácticas de seguridad actuales, como la inteligencia de amenazas, la nube, el enmascaramiento de datos, el filtrado web, la codificación segura y la protección contra pérdida de datos (DLP), que anteriormente estaban “en el aire”.
4. 35 controles permanecen iguales con cambio en el número de control y realineados a las 4 secciones;
5. Se ha cambiado el nombre de 23 controles para que sean más fáciles de entender.
6. 57 controles se han fusionado en 24 controles;
7. Sólo se dividió un control; Control 18.2.3 La Revisión del Cumplimiento Técnico se dividió en: 5.3.6 – Cumplimiento de políticas, reglas y estándares para la seguridad de la información; y 8.8 – Gestión de vulnerabilidades técnicas

Importante hay que recordar que ISO 27001 es el estándar principal, y las empresas pueden obtener la certificación contra él; las empresas no pueden certificarse según la norma ISO 27002:2022, ya que es solo una norma de apoyo.

En su Anexo A, ISO 27001 proporciona solo una lista de controles de seguridad, pero no explica cómo se pueden implementar; ISO 27002 enumera esos mismos controles y proporciona orientación sobre cómo podrían implementarse. Sin embargo, esta guía en ISO 27002 no es obligatoria, es decir, las empresas pueden decidir si usar esas pautas o no.

Para terminar, a pesar de los cambios establecidos dentro de la revisión de ISO 27002: 2022, es importante considerar que habrá un período de transición de 3 años para las empresas actualmente certificadas y los organismos de acreditación trabajarán con los organismos de certificación en este ciclo de transición que brinda a las organizaciones que poseen un certificado ISO 27001 tiempo suficiente para pasar de una versión a otra.