ISO/IEC 27001 es la norma internacional para la seguridad de la información por excelencia. Se trata de un sistema de gestión de la seguridad de la información (SGSI), hoy venimos con la tan esperada actualización de la norma en ISO/IEC 27001:2022 , sobre la que veremos los principales cambios implementados.
Pero debemos empezar con algo en la cabeza: Lo primero que debemos hacer para la nueva versión de la ISO27001 es no asustarnos, ya que ha cambiado más bien poco.
Listado de cambios en la ISO/IEC 27001:2022
A continuación, intentaremos detallar los cambios en las distintas clausulas surgidas en esta actualización:
ISO/IEC 27001:2022 - Cláusula 4 : Contexto de la organización
- Cláusula 4.1 - Entender la organización y su contexto : Sin cambio
- Cláusula 4.2 - Comprender las necesidades y expectativas de las partes interesadas :No hay ningún cambio real en la cláusula 4.2 de ISO 27001 para la actualización de 2022. Se ha aclarado que ahora se determinará cuáles de los requisitos identificados se abordarán a través del sistema de gestión de la seguridad de la información en lugar de implicarlo.
- Cláusula 4.3 - Determinación del alcance del sistema de gestión de la seguridad de la información: No hay un gran cambio en la cláusula 4.3 de la ISO 27001 en la actualización de 2022, ya que lo único que hace es eliminar la palabra "y" del 4.3 b.
- Cláusula 4.4 - Sistema de gestión de la seguridad de la información: En esta actualización, se refieren a través de la norma a este "documento" en lugar de a esta "norma internacional". Sustituyendo las palabras "norma internacional" por la palabra "documento". Han añadido en la frase el término "incluyendo los procesos necesarios y sus interacciones" para dejar absolutamente claro que los procesos están incluidos, en lugar de darlo a entender. En esencia, no ha cambiado nada. Se trata de una aclaración de la redacción.
ISO/IEC 27001:2022 - Cláusula 5 : Liderazgo
- Cláusula 5.1 - Liderazgo y compromiso : No cambia
- Cláusula 5.2 - Política : No cambia
- Cláusula 5.3 - Funciones, responsabilidades y autoridades de la organización : Los cambios en la cláusula 5.3 de la ISO 27001 para la actualización de 2022 son, en el mejor de los casos, menores. Se ha cambiado la palabra "norma internacional" por la palabra "documento" y se ha añadido la aclaración de que la comunicación se realiza dentro de la organización, como siempre se ha insinuado pero nunca se había dicho. Un cambio no muy importante.
ISO/IEC 27001:2022 - Cláusula 6 : Planificación
- Cláusula 6.1 - Acciones para abordar los riesgos y las oportunidades : Sin cambios
- Cláusula 6.1.1 - Generalidades : La actualización fue para eliminar la palabra "y" de 6.1.1 b.
- Cláusula 6.1.2 - Evaluación del riesgo para la seguridad de la información : Sin cambios
- Cláusula 6.1.3 Tratamiento de los riesgos para la seguridad de la información : Los cambios en la cláusula 6.1.3 de ISO 27001 son menores pero importantes . Se ha cambiado la redacción de 6.1.3 c para que ahora se haga referencia al Anexo A como una lista de posibles controles de seguridad de la información. Esto es un cambio que contiene una lista completa de objetivos de control.
Se ha eliminado las frases que dicen que los objetivos de control están implícitamente incluidos en los controles elegidos.
Se ha cambiado que los objetivos de control que figuran en el Anexo A no son exhaustivos, pudiendo ser necesarios controles adicionales, a la redacción de Controles de Seguridad de la Información que figura en el Anexo.
Se ha cambiado la palabra objetivos de control por controles.
Se ha cambiado la frase de 6.1.3 d por una lista para facilitar la lectura
Se ha cambiado la palabra "norma internacional" por la palabra "documento".
En general se trata de cambios de aclaración.
- Cláusula 6.2 - Objetivos de seguridad de la información y planificación para alcanzarlos : Ha sufrido cambios menores, centrándose los cambios en la claridad. Se introdujo que los objetivos de seguridad de la información deben ser supervisados y estar disponibles como información documentada. Siempre estuvo implícito, pero ahora se hace explícito. Como resultado, la numeración de las subpartes ha cambiado, pero esto no es importante.
- Cláusula 6.3 - Planificación de los cambios : Cuando hagas cambios en el SGSI hazlo de forma planificada. Aunque entendiendo que siempre deberían ser planificados, ahora queda reflejado en la actualización 2022.
ISO/IEC 27001:2022 - Cláusula 6 : Planificación
- Cláusula 6.1 - Acciones para abordar los riesgos y las oportunidades : Sin cambios
- Cláusula 6.1.1 - Generalidades : La actualización fue para eliminar la palabra "y" de 6.1.1 b.
- Cláusula 6.1.2 - Evaluación del riesgo para la seguridad de la información : Sin cambios
- Cláusula 6.1.3 Tratamiento de los riesgos para la seguridad de la información : Los cambios en la cláusula 6.1.3 de ISO 27001 son menores pero importantes . Se ha cambiado la redacción de 6.1.3 c para que ahora se haga referencia al Anexo A como una lista de posibles controles de seguridad de la información. Esto es un cambio que contiene una lista completa de objetivos de control.
Se ha eliminado las frases que dicen que los objetivos de control están implícitamente incluidos en los controles elegidos.
Se ha cambiado que los objetivos de control que figuran en el Anexo A no son exhaustivos, pudiendo ser necesarios controles adicionales, a la redacción de Controles de Seguridad de la Información que figura en el Anexo.
Se ha cambiado la palabra objetivos de control por controles.
Se ha cambiado la frase de 6.1.3 d por una lista para facilitar la lectura
Se ha cambiado la palabra "norma internacional" por la palabra "documento".
En general se trata de cambios de aclaración.
- Cláusula 6.2 - Objetivos de seguridad de la información y planificación para alcanzarlos : Ha sufrido cambios menores, centrándose los cambios en la claridad. Se introdujo que los objetivos de seguridad de la información deben ser supervisados y estar disponibles como información documentada. Siempre estuvo implícito, pero ahora se hace explícito. Como resultado, la numeración de las subpartes ha cambiado, pero esto no es importante.
- Cláusula 6.3 - Planificación de los cambios : Cuando hagas cambios en el SGSI hazlo de forma planificada. Aunque entendiendo que siempre deberían ser planificados, ahora queda reflejado en la actualización 2022.
ISO/IEC 27001:2022 Clausula 8 : Operación
- Cláusula 8.1 - Planificación y control de las operaciones : Son cambios de aclaración y nada importante. La redacción sobre la planificación y la implementación y el control de los procesos se amplía a la redacción más general de "cumplir con los requisitos" en lugar de antes, que era "cumplir con los requisitos de seguridad de la información".
Ahora se habla de establecer criterios para los procesos e implementar el control de los procesos en línea con esos criterios. En lugar de mantener la información documentada se cambia a que la información documentada esté disponible.
Los procesos subcontratados se "determinan y controlan" se cambia a "se controlan los procesos, productos o servicios proporcionados externamente que son relevantes para el sistema de gestión de la seguridad de la información."
- Cláusula 8.2 - Evaluación de los riesgos para la seguridad de la información : Sin Cambios
- Cláusula 8.3 - Tratamiento de los riesgos de la seguridad de la información : Sin Cambios
ISO/IEC 27001:2022 Cláusula 9 : Evaluación del desempeño
- Cláusula 9.1 - Seguimiento, medición, análisis y evaluación : Hay cambios de aclaración. Se han eliminado las palabras sobre "la organización evalúa el rendimiento de la seguridad de la información y la eficacia del sistema de gestión". Estando cubiertas en mayor o menor grado en otras partes de la cláusula.
-El apartado 9.1 b se ha actualizado para orientar sobre los métodos de seguimiento, medición, análisis y evaluación y establece, que deben producir resultados comparables y reproducibles para ser considerados válidos. Esto era antes una nota a pie de página, por lo que no hay cambios importantes.
-En el apartado 9.1 e se ha suprimido la palabra "y" sin apenas consecuencias.
-Se ha incluido el requisito de que la información documentada esté disponible para demostrar los resultados, convirtiéndolo en un requisito explícito en lugar de implícito. En lugar de conservar la documentación adecuada como prueba, la línea se ha sustituido por el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.
- Cláusula 9.2 - Auditoría interna: Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a dos nuevas subcláusulas separadas:
-Cláusula 9.2.1 - Generalidades: NUEVA - No dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
-Cláusula 9.2.2 - Programa de auditoría interna : NUEVO - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
- Cláusula 9.3 - Revisión de la gestión: Se ha eliminado la redacción de esta cláusula y se ha cambiado la redacción a tres nuevas subcláusulas separadas.
-Cláusula 9.3.1 - Generalidades : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
-Cláusula 9.3.2 - Aportaciones de la dirección : NUEVA - no dice nada nuevo, sólo separa la antigua cláusula para facilitar la lectura.
-Cláusula 9.3.3 - Resultados de la revisión de la gestión : NUEVO - no dice nada nuevo, sólo separa la cláusula anterior para facilitar la lectura.
ISO/IEC 27001:2022 Cláusula 10 : Mejora
- Cláusula 10.1 - Mejora continua : Sin cambios pero con numeración intercambiada
- Cláusula 10.2 - No conformidad y acción correctiva : Sin cambios pero con numeración cambiada
- Anexo A - Controles de seguridad de la información referencia ISO 27002: 2022 : Nueva versión del conjunto de controles.
Principales errores a la hora de abordar la nueva norma ISO27001
- Asumir que es diferente : Asumir que es muy diferente y entrar en pánico. Preocupar a la organización indebidamente y buscar un presupuesto amplio para algo que fundamentalmente no es diferente a lo que ya se tiene o en lo que ya se está trabajando.
- Pagar a consultores para que calculen el impacto : Pagar a consultores para que nos digan que no ha cambiado fundamentalmente nada cuando puedes comprar la norma tú mismo, leerla y llegar a esa conclusión en unos 15 minutos. O confiar en mi
