Transición a ISO 27001:2022. ¿Cómo y cuándo adaptarse?

Transición ISO 27001:2022

Con los últimos cambios generados en materia de seguridad de la información, y las nuevas tendencias del día a día, la norma ha sufrido una variación y se espera que la nueva ISO 27001:2022 esté disponible a finales de 2022. Esto implica que las organizaciones que estén certificadas deberán realizar un proceso de transición a ISO 27001:2022.

ISO 27001 es una norma internacional emitida por la organización internacional de normalización (ISO) y describe cómo gestionar la seguridad de la información en una organización. La ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, sea una empresa grande, pequeña, privada o pública. Está redactada con los mejores especialistas del mundo en el tema que brinda una metodología para implementar la gestión de la seguridad de la información en una compañía. También permite que una compañía sea certificada, es decir, que una entidad de certificación independiente puede confirmar que la seguridad de la información ha sido implementada en esa compañía en cumplimiento a la norma.

La ISO 27001, tiene 4 ventajas importantes que una organización puede obtener a implementar esta norma de seguridad:

• Cumplir con los Requerimientos legales.
• Conseguir una ventaja comercial.
• Minimizar Costos.
• Una mejor organización.

Hace unos meses, se publicacó la nueva ISO 27002:2022. El objetivo de estas modificaciones es simplificar y adaptar las necesidades actuales. También contextualiza el valor de la información para las diferentes organizaciones, como es alcanzada la seguridad de la información a través de la implementación de un conjunto de controles de seguridad, los requisitos de seguridad de la información que debe determinar una compañía, la determinación de controles para la protección de la información, considerando el ciclo de vida de la información, es decir, desde su elaboración hasta llegar a ser obsoleto.

Hay que tener en cuenta, que la ISO 27002 está asociada a la 27001 como apoyo y respaldo, donde incluye controles de seguridad, técnicos y organizativos para implementar la ISO 27001, que la norma que certifica. Es necesario combinar que la ISO 27001 proporciona el marco de requisitos para poder realizar los cambios pertinentes que se van a originar en la ISO 27002.

¿Cuáles son los principales cambios?

• Lo primero que cambia es el nombre, el documento se llamará Controles de Seguridad de la Información.
• En la estructura, la versión 2013 contaba con 14 dominios, en la actual, se contarán con 4 bloques grandes de controles que consta de los siguientes:
  • Organizacionales: 37 controles.
  • Personal: 8 controles.
  • Físicos: 14 controles.
  • Tecnológico: 34 controles.
• Cambios en el número de controles, la nueva norma reduce el número de controles que pasan de 114 a 93. En esta disminución en el número no va a afectar a la inclusión de aspectos relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro. Se han añadido 11 controles nuevos y otros de los existentes, se han agrupado y se han renombrado.
• Incorporación de nuevos elementos a nivel de controles, se incluye el uso de atributos como: el tipo que hace referencia a preventivos, integridad y disponibilidad y también se agrega la fundamentación debido a que es necesario aplicar cada control.

Periodo de transición a ISO 27001.2022

Las organizaciones que se encuentren certificadas en ISO 27001 deben asegurar el cumplimiento de los nuevos controles y la reorganización existente, para adaptarse a la nueva 27002. En este entorno, es necesario que las organizaciones revisen el tratamiento de riesgo y se alineen las listas de controles en la declaración de aplicabilidad y actualizar las políticas y procedimientos.

Para la realización de todos los cambios, se va a contar con un periodo de transición que normalmente son dos años, pero hay que tener en cuenta que, aunque las certificaciones no exigirán las modificaciones en ese tiempo, deberán realizar confirmaciones que la organización está en proceso de adaptación.

Para concluir, las nuevas características de la actualización de la norma 27001:2022 y su enfoque de controles nos permitirá conocer las nuevas directrices importantes sobre cómo adaptar las nuevas metodologías relevantes en la materia. Por tanto, comprender los cambios que se definieron que sin duda deben ser considerados como elementos de competencias. Cabe aclarar que la nueva estructura de la norma es un considerable paso para la simplificación y facilidad de uso de la misma, teniendo en cuenta los cambios, no solo a nivel estructural, sino también a nivel de lenguaje, acercándose a temas más atingentes a la seguridad de la información.

Plataforma para Seguridad de la Información ISOTools

Para una gestión eficaz de la Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022 y afectarán a la modificación de la ISO 27001 prevista para el último trimestre de 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Con la actualización prevista de la norma, ya disponemos del Software de Gestión ISO 27001:2022. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.