En 2022, ISO 27001 se actualizó junto con su norma de orientación complementaria ISO 27002. A partir de abril de 2024, las organizaciones que busquen obtener la certificación ISO 27001 por primera vez deben certificar en la versión 2022. Las organizaciones que ya están certificadas deben hacer la transición a esta última versión antes del 31 de octubre de 2025.

Para asegurar un viaje o período de transición de cumplimiento sin problemas, debe comprender los cambios en los requisitos de ISO 27001 y los controles del Anexo A en ISO 27002. Cubriremos estas principales actualizaciones a continuación.

¿Qué cambió con ISO 27001:2022?

A continuación se muestran los cambios clave que se encuentran en la última versión de ISO 27001.

Actualizaciones editoriales en las Cláusulas 4-10 del SGSI

En general, las actualizaciones en las Cláusulas 4-10 del SGSI incluyen cambios menores de redacción y estructurales. 

Por ejemplo, los cambios en la Cláusula 6: Planificación eliminan la ambigüedad y el lenguaje obsoleto (es decir, los objetivos de control). La Cláusula 4.4, un requisito existente para establecer, implementar, mantener y mejorar continuamente su SGSI, ahora incluye la frase "incluidos los procesos necesarios y sus interacciones". 

En términos de cambios estructurales, la Cláusula 9.2: Auditoría interna se dividió en 9.2.1: General y 9.2.2: Programa de auditoría interna. Sin embargo, los requisitos siguen siendo los mismos. 

De manera similar, la Cláusula 9.3: Revisión por la dirección se dividió en tres subsecciones: 9.3.1: General, 9.3.2: Entradas de la revisión por la dirección y 9.3.3: Resultados de la revisión por la dirección.

Se Introdujo la Cláusula 6.3

La versión 2022 también introdujo una nueva subcláusula. La Cláusula 6.3: Planificación de Cambios requiere que cualquier cambio en el SGSI se realice de manera planificada. El objetivo de esta subcláusula es asegurar que las organizaciones consideren el propósito de cualquier cambio en su SGSI, las posibles consecuencias, el impacto en el SGSI, la disponibilidad de recursos y la asignación o reasignación de responsabilidades y autoridades, entre otros factores. 

Actualización de los controles del Anexo A

El cambio más importante en ISO 27001:2022 que las organizaciones necesitan conocer es la actualización oficial de los controles del Anexo A. Esto se discutirá en la sección a continuación.

¿Qué cambió con ISO 27002:2022?

A continuación se muestran los cambios clave que se encuentran en la última versión de ISO 27002.

Número reducido de controles

El cambio principal en ISO 27002 (y, por lo tanto, en ISO 27001) es que el número total de controles del Anexo A se redujo de 114 a 93. Sin embargo, no se eliminaron ninguno de los controles anteriores. 57 simplemente se fusionaron en 24 controles. Se añadieron 11 controles. 1 se dividió. Los 58 controles restantes se mantuvieron mayormente sin cambios, con actualizaciones contextuales menores.

11 nuevos controles

Algunos controles son completamente nuevos en la versión 2022, lo que significa que no se encuentran en ISO/IEC 27001:2013.

Los 11 nuevos controles añadidos al Anexo A incluyen:

Reducción de los dominios de control del Anexo A

En la versión anterior, los controles del Anexo A se dividían en 14 dominios. En la versión 2022, estos se consolidaron y reorganizaron en 4 cláusulas denominadas temas. Estos son:

• Cláusula 5: Controles Organizacionales (37 controles)
• Cláusula 6: Controles de Personas (8 controles)
• Cláusula 7: Controles Físicos (14 controles)
• Cláusula 8: Controles Tecnológicos (34 controles)

Introducción de atributos

ISO 27002 introdujo una taxonomía más simple para los controles de ISO 27001. Sin embargo, las cuatro categorías mencionadas anteriormente son descriptores tan amplios que puede ser un desafío saber cómo está utilizando los controles en cada categoría y si necesita implementar cada uno.

Para abordar este desafío, ISO 27002:2022 también introdujo atributos asociados. Estos ofrecen diferentes perspectivas para ver los controles de modo que pueda entender mejor cuáles necesita implementar y cómo los está utilizando a lo largo de su proceso de evaluación y tratamiento de riesgos.

ISO 27002:2022 define los siguientes cinco atributos que están destinados a ser lo suficientemente genéricos como para ser utilizados por cualquier organización. Estos atributos también son personalizables para que pueda usar los suyos propios.

1. Tipos de control

¿Cuándo y cómo impacta el control en el resultado del riesgo durante un incidente de seguridad de la información?

Los posibles valores de los atributos son:

• Preventivo: el control actúa antes de que ocurra una amenaza
• Detectivo: el control actúa cuando ocurre una amenaza
• Correctivo: el control actúa después de que ocurre una amenaza

2. Propiedades de seguridad de la información

¿Qué característica de la información ayudará a preservar el control?

Los posibles valores de los atributos son:

• Confidencialidad
• Integridad
• Disponibilidad

3. Propiedades de ciberseguridad

¿Qué concepto de ciberseguridad definido en el marco descrito en ISO/IEC TS 27110 está asociado con el control?

Los posibles valores de los atributos son:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

4. Capacidades operativas

¿Con qué capacidades operativas está asociado el control? ¿O a qué departamento se le debe asignar este control o riesgo?

Los posibles valores de los atributos incluyen pero no se limitan a:

• Seguridad de aplicaciones
• Gestión de activos
• Gobernanza
• Protección de la información
• Seguridad de los recursos humanos
• Gestión de la identidad y acceso
• Gestión de eventos de seguridad de la información
• Seguridad física
• Configuración segura

5. Dominios de seguridad

¿Con qué campo de seguridad, experiencia, servicio y/o producto está asociado el control?

Los posibles valores de los atributos son:

• Gobernanza y ecosistema
• Protección
• Defensa
• Resiliencia

¿Qué significan estos cambios para las organizaciones que ya están certificadas en ISO 27001?

Las organizaciones que actualmente están certificadas en ISO 27001:2013 tendrán tres años para hacer la transición a ISO/IEC 27001:2022. El período de transición comienza el 31 de octubre de 2022 y termina el 31 de octubre de 2025. Las certificaciones basadas en ISO 27001:2013 vencerán o se retirarán al final del período de transición.

Las auditorías de transición pueden realizarse al mismo tiempo que la próxima auditoría (p.ej., auditoría de recertificación y auditoría de transición), o por separado.

¿Qué significan estos cambios para las organizaciones que buscan la certificación ISO 27001 por primera vez?

Las organizaciones que buscan ISO 27001 por primera vez (tanto en las auditorías de la Etapa 1 como en la Etapa 2) aún pueden certificarse en la versión 27001:2013 hasta abril de 2024. Las auditorías de transición pueden realizarse al mismo tiempo que su próxima auditoría (p.ej., auditoría de vigilancia y auditoría de transición), o por separado.

Cómo Secureframe simplifica el cumplimiento de ISO 27001

Ya sea que busque el cumplimiento de ISO 27001 por primera vez o simplemente necesite una manera más fácil de mantener la certificación, Secureframe puede ayudar. Trabajaremos con usted para diseñar un SGSI que se alinee con los estándares de ISO 27001 y las necesidades de su organización, lo ayudaremos a prepararse para la auditoría rápidamente y monitorizaremos su pila tecnológica para garantizar el cumplimiento continuo.

Para obtener más información, programe una demostración de Secureframe hoy mismo.