Ya tenemos actualizada la norma ISO 27001 y la norma ISO 27002.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Puede ser llevada a cabo en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande, proporcionando una metodología para implementar la gestión de la seguridad de la información en una organización, permitiendo su certificación.
La parte principal de la ISO/IEC 27001, el estándar principal en materia de Seguridad de la Información, correspondiente a las cláusulas de la 4 a la 10 no ha experimentado cambios. Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Es por ello que los cambios atienden a la actualización de los controles de seguridad enumerados en el Anexo A y que se corresponden con la ISO 27002, que sirve como guía para implementar los controles de seguridad específicos de la ISO 27001.
Pasemos a confirmar algunos cambios de esta guía respecto a la versión anterior:
Los controles están detallados en 4 dominios o secciones en vez de en 14 cómo la versión anterior: Controles Organizacionales (Clausula 5), Controles relativas al Personal (Clausula 6), Controles físicos (Clausula 7) y Controles tecnológicos (Clausula 8). Esta estructura simplificada ayuda a comprender mejor la aplicabilidad y la asignación de responsabilidades.
también el número de controles ha descendido de 114 a 93, simplificando la implementación. Hay que destacar que ninguno ha sido eliminado (sino todo lo contrario, se han añadido controles nuevos) y se han agrupado muchos de ellos.
Se incluyen 11 controles nuevos relativos a gestión en la nube (como también refleja el borrador del Esquema Nacional de Seguridad (ENS)) y controles para mitigar las amenazas actuales:
5.7 Inteligencia de amenazas
5.23 Seguridad de la información para el uso de servicios en la nube
5.30 Preparación de las TIC para la continuidad de negocio
7.4 Supervisión de la seguridad física
8.9 Gestión de la configuración
8.10 Borrado de información
8.11 Enmascaramiento de datos
8.12 Prevención de fugas de información
8.16 Actividades de monitorización
8.23 Filtrado web
8.28 Codificación segura
Diferencias entre la norma ISO 27002 y la norma ISO 27001
ISO 27001 es el estándar principal en materia de Seguridad de la Información y las empresas y organizaciones que lo deseen pueden certificarse con él. Sin embargo, hay que mencionar que no es posible certificarse en la norma ISO 27002:2022 ya que es solo constituye un estándar de respaldo.
En su Anexo A, la ISO/IEC 27001 proporciona una serie de controles de seguridad, no obstante, no detalla cómo se pueden implementar. Por su parte, la ISO 27002 enumera esos mismos controles y brinda cierta orientación acerca de cómo podrían implementarse. Cabe dejar claro que la guía que constituye la ISO 27002 no es obligatoria, por lo que será decisión de las empresas y las organizaciones decidir si usarla o no.