EN124-V1 ISO/CEI 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información.

Cambios de la nueva versión.

El 16 de febrero de 2022 pasado fue publicada por ISO e IEC la tercera actualización de la norma ISO/IEC 27002, norma diseñada para uso por parte de las organizaciones como referencia para la selección e implementación de controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma ISO/IEC 27001.

Los cambios se orientan a facilitar la selección, comprensión e implementación de los controles, incorporando dos temas candentes de la Revolución Industrial 4.0, como son la ciberseguridad y la privacidad de la información. Así entonces, los principales cambios fueron:

  1. Cambio de nombre: El nombre “Tecnologías de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información” se cambió por “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”, lo que refleja un contexto más amplio y actualizado y que incluye la prevención, detección y respuesta a ciberataques, así como la protección de los datos personales.
  2. Cambios en los controles: Esta nueva versión contiene 93 controles, en lugar de los 114 de la versión anterior; divididos en 4 cláusulas, en lugar de las 14 categorías de la versión anterior, que se enfocan en el contexto de aplicación del control, considerando:
  3. Controles organizacionales: 37 controles relacionados con políticas, roles y responsabilidades, gestión documentación, gestión de accesos, etc.
  4. Controles de Personas: 8 controles relacionados con selección, relaciones contractuales, trabajo remoto, reporte de eventos, etc.
  5. Controles Físicos: 14 controles relacionados con perímetros, control acceso, seguridad física, áreas seguras, protección de equipos, mantenimiento, etc.
  6. Controles Tecnológicos: 34 controles relacionados con la gestión de accesos lógicos, gestión de redes, gestión de operaciones, desarrollo y mantenimiento de software, etc.

De los 93 controles de esta nueva versión 2022:

  • 58 corresponden a actualizaciones de controles de la versión 2013.
  • 24 corresponden a la fusión de controles de la versión 2013.
  • 11 corresponden a nuevos controles.
  • Atributos: Se han introducido 4 atributos asociados a cada uno de los controles, lo que permite su mejor comprensión, selección y uso:
  • Tipo de control: permite conocer cuándo y cómo el control modifica el riesgo: Preventivo, Detectivo o Correctivo.
  • Propiedades de seguridad de la información: permite conocer qué características de la información el control contribuye a preservar: Confidencialidad, Integridad o Disponibilidad.
  • Conceptos de Ciberseguridad: permite asociar controles a los conceptos de ciberseguridad (ISO/IEC TS 27110, NIST-Cibersecurity Framework): Identificar, Proteger, Detectar, Responder, Recuperar.
  • Capacidades Operativas: permite establecer las capacidades requeridas de los profesionales de SI: Gobernanza, Gestión de activos, Protección de la información, Seguridad de los recursos humanos, Seguridad física, Seguridad de sistemas y redes, Seguridad de las aplicaciones, Configuración segura, Gestión de la identidad y del acceso, Gestión de amenazas y vulnerabilidades, Continuidad, Seguridad de las relaciones con los proveedores, Cumplimiento legal, Gestión de eventos de seguridad de la información y Aseguramiento de la información.
  • Dominios de Seguridad: permite saber a cuáles de los cuatro dominios de seguridad de la información pertenece el control: Gobernanza y ecosistema, Protección, Defensa, Resiliencia.

Por el momento, las organizaciones que ya tengan, estén implementando o estén interesadas en implementar, un SGSI con base en los requisitos de la ISO/IEC 27001:2013 pueden solamente estudiar y analizar esta nueva definición y ajuste de controles. Ya una vez que se publique la nueva versión de la ISO/IEC 27001, que se espera sea durante este año 2022, las empresas tendrán 3 años para actualizar su SGSI a estas nuevas versiones de ambas normas, aunque las certificaciones con la versión 2013 de la ISO/IEC 27001 solamente se podrán realizar hasta 18 meses después de la publicación oficial de la nueva versión.

Daniel Pezoa Durán dpezoa@prismaconsultoria.com

12-Septiembre-2022

Dejar una contestacion