El panorama de seguridad, privacidad y cumplimiento está en constante evolución, y con él, los marcos diseñados para proteger a las organizaciones y sus clientes de amenazas. ISO 27001 y su estándar complementario ISO 27002 fueron actualizados recientemente para 2022, con cambios estructurales en las cláusulas y nuevos controles añadidos al Anexo A.

En nuestro Seminario Web de Secureframe | Información Experta realizado el martes 29 de noviembre, el experto en cumplimiento Cavan Leung explicó los cambios clave en el marco y sus controles.

Si se lo perdió, vea la repetición del video bajo demanda. También estamos recapitulando sus ideas y consejos expertos para mantener su organización en cumplimiento con ISO 27001:2022 a continuación.

Una breve visión general de ISO 27001

Antes de sumergirse en las últimas actualizaciones del marco, es importante entender qué es ISO 27001 y las ventajas de buscar la certificación.

ISO 27001 es un estándar reconocido internacionalmente que ayuda a las organizaciones a establecer, mantener y mejorar continuamente su postura de seguridad de la información. Se enfoca en una combinación de personas, procesos, tecnologías y controles para establecer lo que ISO llama un sistema de gestión de seguridad de la información (SGSI).

La certificación ISO 27001 trae varios beneficios. Como estándar reconocido internacionalmente, ISO 27001 es respetado por organizaciones de todo el mundo. Lograr la certificación con el estándar establece una mayor confianza con prospectos, clientes, socios e inversores. Y debido a que el estándar es adaptable a diferentes tipos de organizaciones, puede capacitar y apoyar a las empresas a medida que escalan.

ISO 27001 comprende dos áreas fundamentales:

• Cláusulas del SGSI 4-10: Este aspecto del estándar detalla los requisitos para establecer procesos y controles de seguridad de la información para mejorar continuamente su postura de seguridad de la información.
• Controles del Anexo A: Controles de seguridad de la información que las organizaciones pueden implementar para minimizar riesgos.

Las organizaciones deben someterse a una serie de auditorías externas de certificación para ser certificadas. El proceso implica una serie de auditorías:

• Año 1: Auditorías iniciales de certificación. Tras las exitosas auditorías de etapa 1 y etapa 2, la organización está certificada con ISO 27001. La certificación es válida por tres años.
• Años 2 y 3: Se realizan auditorías de vigilancia para revisar las cláusulas 4-10 y una muestra de los controles del Anexo A.
• Año 4: La auditoría de recertificación evalúa las cláusulas 4-10 y todos los controles del Anexo A. La organización es recertificada, válida por otros tres años.

Entonces, ¿qué es ISO 27002?

ISO 27002 es un estándar complementario que proporciona consejos sobre cómo implementar controles de seguridad de la información, que se enumeran en el Anexo A de ISO 27001. En otras palabras, ISO 27002 es simplemente información sobre un control, cómo funciona y cómo podría implementarse, pero no le dice si es aplicable a su empresa.

Es por eso que puede obtener una certificación ISO 27001, pero no una certificación ISO 27002 porque no es un estándar de gestión que proporcione una lista completa de requisitos de cumplimiento. ISO 27001 requiere que las empresas realicen una evaluación de riesgos para identificar riesgos, qué controles se requieren para mitigar el riesgo y cómo deberían implementarse.

Resumen de los cambios en ISO 27001:2022 e ISO 27002:2022

ISO 27001:2022 fue publicada oficialmente en octubre de 2022 e introdujo cambios menores en la redacción y estructura de las Cláusulas 4-10 de ISMS. Los principales cambios en los controles del Anexo A se reflejan en ISO 27002:2022.

Las actualizaciones del documento ISO 27002 se publicaron oficialmente en febrero de 2022. En versiones anteriores, los controles del Anexo A estaban segmentados en catorce dominios de control: Anexo A.5 a Anexo A.18. En la versión 2022, esos 14 dominios se consolidaron en 4 categorías principales:

• Organizacional
• Personas
• Físico
• Tecnológico

Estos cambios simplifican la estructura de ISO 27002 y hacen que el documento sea más intuitivo para las organizaciones.

El número total de controles se redujo de 114 a 93. Dentro de esos 93 controles, 58 controles permanecen iguales con cambios contextuales menores. Veinticuatro controles se consolidaron y se introdujeron 11 controles nuevos.

¿Cómo afectan estos cambios a la certificación ISO 27001?

Las organizaciones que ya están certificadas en ISO 27001 tienen tres años, a partir de la fecha de publicación de ISO 27001:2022, para hacer la transición a la nueva norma. En otras palabras, para estas organizaciones, los certificados de ISO 27001:2013 caducarán o serán retirados a fines de octubre de 2025. Las auditorías de transición pueden realizarse al mismo tiempo que tu próxima auditoría, o puedes hacerlas por separado.

Las organizaciones que se certifiquen por primera vez aún pueden ser certificadas en ISO 27001:2013. Para estos certificados, deben ser ratificados en ISO 27001:2022 antes de octubre de 2025 o arriesgarse a perder su condición de certificación. Las auditorías de transición pueden realizarse al mismo tiempo que tu próxima auditoría, o puedes hacerlas por separado.

Además, las empresas auditoras de ISO también deberán acreditarse para realizar auditorías de ISO 27001:2022. Por lo tanto, la organización, como parte del proceso de selección de auditores, debe asegurarse de que la empresa auditora pueda auditar y, en consecuencia, certificar contra la nueva versión ISO 27001:2022.

ISO 27001:2022 y ISO 27002:2022 Preguntas Frecuentes

Durante el seminario web de Secureframe Expert Insights sobre los cambios en ISO 27001 e ISO 27002, Cavan Leung, CISSP, CISA, CCSK compartió su experiencia con los asistentes que enviaron preguntas en vivo o por adelantado. Aquí tienes un resumen de las preguntas y respuestas.

¿La plataforma Secureframe reflejará los estándares ISO 27001:2022?

Sí. Una vez que la solución ISO 27001:2022 esté activa en la plataforma, tendrás la opción de cambiar a la versión 2022 para no perder tu progreso actual hacia la versión 2013. Ambas versiones estarán disponibles en la plataforma.

Si ya estamos en proceso de certificación ISO 27001 hoy, ¿deberíamos continuar con ISO 27001:2013 o intentar cambiar a ISO 27001:2022?

Si ya estás en el proceso de obtener la certificación en ISO 27001:2013 o tienes una necesidad urgente de certificación, continúa con la versión 2013. Dicho esto, si apenas estás comenzando el proceso de establecer e implementar tus controles y procesos ISO 27001, sugiero mirar la implementación del estándar ISO 27001:2022.

Advertencia: las firmas de auditoría ISO deberán acreditarse en la nueva versión de 2022. Como tal, al seleccionar las firmas de auditoría, la organización debe asegurarse de que los auditores seleccionados puedan certificar según ISO 27001:2022.

Si no recertifico para ISO 27001:2022 antes de octubre de 2025, ¿qué sucede?

Si eres titular de un certificado existente, lo más probable es que tu certificación expire en 2025 ya que es válida por tres años. Cuando recertifiques, lo harías bajo el estándar ISO 27001:2022.

Si por alguna razón tu ISO 27001:2013 aún está activa en 2025 y no has hecho la transición a la versión 2022, tu organismo de certificación retirará tu certificado, haciéndolo inválido.

Si nuestro certificado expira en 2023 después de agosto, ¿podemos aún recertificar según la versión 2013?

Técnicamente hablando sí, tienes hasta octubre de 2025. Sin embargo, te desaconsejaría hacerlo. De esa manera, ya puedes comenzar a implementar los cambios de 2022 en tu SGSI y prepararte para obtener la certificación en la versión 2022.

Únete a nuestro próximo seminario web de Secureframe | Expert Insights

Estamos organizando seminarios web de Secureframe regularmente durante los próximos meses para abordar los mayores puntos de dolor en seguridad, privacidad y cumplimiento que escuchamos y las preguntas que recibimos de prospectos, clientes y profesionales de la seguridad. Mantén un ojo en los detalles de registro próximos, o revisa las grabaciones de eventos pasados si te lo perdiste.