ISO 27001:2022 ¿Qué controles han cambiado?

ISO 27001:2022

ISO 27001 es una norma internacional emitida por la organización internacional de normalización (ISO) y describe como gestionar la seguridad de la información en una organización. La ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, sea una empresa grande, pequeña, privada o pública. Está redactada con los mejores especialistas del mundo en el tema que brinda una metodología para implementar la gestión de la seguridad de la información en una compañía. También permite que una compañía que sea certificada, es decir, que una entidad de certificación independiente puede confirmar que la seguridad de la información ha sido implementada en esa compañía en cumplimiento a la norma.

La ISO 27001, tiene 4 ventajas importantes que una organización puede obtener a implementar esta norma de seguridad:

• Cumplir con los Requerimientos legales
• Conseguir una ventaja comercial.
• Minimizar Costos.
• Una mejor Organización.

Uno de los cambios más importantes que tuvo la ISO 27001 está en cómo se agrupan los controles, en esta nueva versión en lugar de contar con los 14 dominios (Es lo que agrupa a los diferentes controles), ahora está formado por 4 temas diferentes, son los siguientes:

• Controles Organizacionales: Aquí se encuentran un total de 37 controles, donde estos se enfocan principalmente en la seguridad administrativa de las diferentes organizaciones, como son las políticas de seguridad de la información.
• Controles de Personas: Este punto tiene un total de 8 controles que se enfocan en la seguridad del capital humano. Las condiciones y términos de empleo son un ejemplo claro de lo que se puede encontrar en estos controles.
• Controles Físicas: se encuentra un total de 14 controles, estos comprenden todo lo que tenga que ver con instalaciones físicas. Un ejemplo claro son los controles de entrada a la oficina, es decir, tarjetas de ingreso o de identificación para poder abrir la puerta.
• Controles Tecnológicos: Se encuentran un total de 34 controles que conforman esta sección, puede ser la autenticación segura para poder acceder a cualquier sistema de la organización. Un ejemplo puede ser que se te solicite usuarios y contraseña o y código QR de identificación.

Además, lo mencionado anteriormente, se eliminó un control, se fusionaron algunos y se crearon 11 nuevos controles, al final quedaron 93 controles en lugar de 114 que se tenían antes. Otro detalle es que ISO busca la modernización y por esta razón, utilizaron para indicar los atributos donde se detallan 5, son los siguientes:

• Tipo de Control: Este indica cuando y como el control impacta sobre la gestión de riesgos. Un ejemplo puede ser un control correctivo donde aplica después que la amenaza ocurre y el control preventivo que aplica antes de que la amenaza ocurra.  Los posibles valores del atributo son: Correctivos, Detectivos y Preventivos.

• Propiedad de SI: Los atributos de este grupo contribuyen a preservar una o más de las 3 características de la seguridad de la información. Los posibles valores del atributo son: Confidencialidad, Integridad y Disponibilidad.

• Concepto de Ciberseguridad: Apoya a que tu organización se asocie a los 5 grandes dominios de ciberseguridad. Los posibles valores del atributo son: Detectar, Identificar, proteger, Recuperar y Responder.

• Capacidad Operacional: Estos atributos te apoyan a agrupar controles de una manera más práctica. Un ejemplo claro es por medio de responsabilidades o gestión operativa. Los posibles valores del atributo son: Protección de información, gestión de activos, seguridad en los recursos humanos, seguridad física, seguridad en sistemas y redes, gestión de acceso a identidades, continuidad, gestión de amenazas y vulnerabilidades.

• Dominio de Seguridad: Te ayuda a catalogar los controles desde la perspectiva de aplicación. Los posibles valores del atributo son: Gobierno, defensa, protección.

Para concluir, los controles no sufrieron cambios grandes, al contrario, nos ayuda a entender como es la metodología que se puede implementar en nuestra organización haciendo reducción de dichos controles. El certificado ISO 27001 le concierne a cualquier tipo de organización sin importar su tamaño y actividad. El factor importante para decidir sobre la implementación de un sistema de gestión de la seguridad de la información reside en la importancia que los activos de información tienen dentro de una organización como elementos necesarios para la obtención de sus objetivos.

Aunque se dispondrá de un tiempo moderado para acomodarnos a estos cambios, ajustarnos al nuevo estándar, nos concederá una buena herramienta para garantizar la seguridad de la información, las diversas organizaciones indicaran a sus colaboradores, clientes y las partes interesadas que estarán al tanto de los nuevos desarrollos en la industria de la seguridad de la información.