Hace un poco más de un año, el 25 de octubre de 2022, fue publicada la nueva versión de la norma ISO 27001, uno de los principales estándares internacionales para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.
En este artículo detallaremos algunos de los cambios que tuvo la ISO 27001 con respecto a su versión del 2013 y que es importante recordar y tener presentes porque hasta octubre del año 2025 las organizaciones tendrán tiempo para ajustar sus sistemas de gestión actuales.
Lo primero es saber que la ISO 27001 conserva sus 11 cláusulas, sin embargo, las cláusulas 4, 5, 6, 7, 8, 9 y 10 tuvieron algunas modificaciones menores. Algunas de las más llamativas son:
4.2. Ahora las organizaciones deben identificar los requisitos pertinentes de las partes interesadas y especificar cuáles van a ser abordados en el SGSI.
4.4. El SGSI ahora incluye de forma explícita los “procesos necesarios y sus interacciones”.
6.1.3. Sobre los controles de riesgos. Ahora la norma especifica que los objetivos de control no son concretamente controles de seguridad o están directamente asociados a ellos: ya no habla de objetivos de control, sino simplemente de controles.
6.2. Los objetivos de seguridad de la información ahora deben ser monitoreados y documentados.
6.3. Es una nueva cláusula sobre la necesidad de planificar cambios que necesite el SGSI.
7.4. Sobre la comunicación cambió “quién comunicará” a “cómo comunicar”, además, ya no hay necesidad de crear un proceso para llevar a cabo la comunicación.
8.1. Fue sustituido el requisito de planificar los objetivos de seguridad de la información por el requisito de establecer criterios para que los procesos implementen acciones identificadas en la cláusula 6, además de controlarlos.
Igualmente, esta versión solicita que la información documentada siempre esté disponible y que la organización controle los procesos, productos o servicios proporcionados por externos que sean relevantes para el SGSI.
9.1. Sobre el seguimiento, medición, análisis y evaluación de la eficacia del SGSI, la norma actualizó los métodos para llevar a cabo estas acciones, ahora deben ser comparables y reproducibles. Y se destaca, una vez más, la importancia de mantener la documentación y que esté disponible.
A diferencia del texto general de la norma ISO 27001, el Anexo A de esta, es decir, lo referente a los controles para la gestión de riesgos de seguridad de la información, sí tuvo cambios significativos, comenzando con que ya no son 114 controles sino 93, que están organizados en 4 secciones y no en 14 como en la versión del 2013.
De estos 93 controles hay 11 que son nuevos, que fueron incluidos para dar respuesta a las tendencias actuales de tecnologías de la información y de seguridad. Además, 35 de estos se mantuvieron igual a como estaban y 23 cambiaron de nombre.
Las 4 secciones o capítulos en los que están organizados estos controles del Anexo A son:
Y los 11 nuevos controles en este Anexo A son:
Finalmente, es importante que sepas que para facilitar el análisis de los 93 controles de la ISO 27001:2022 y especificar cuáles de estos son aplicables o no al SGSI de tu organización, fueron clasificados según 5 atributos principales de seguridad de la información:
En Pirani, a través de nuestro sistema de seguridad de la información ISMS facilitamos a tu organización la creación y evaluación de controles para el SGSI, que puedes asociar fácilmente a los riesgos identificados y a los activos de información registrados, así como caracterizar cada uno de estos controles de acuerdo a los atributos que exige la norma.
Crea tu cuenta en Pirani, comienza a gestionar los riesgos de seguridad de la información con el Plan Free y conoce más de cómo te acompañamos a dar cumplimiento a la ISO 27001:2022.