Principales cambios de la norma ISO 27001:2022

Hace un poco más de un año, el 25 de octubre de 2022, fue publicada la nueva versión de la norma ISO 27001, uno de los principales estándares internacionales para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones. 

En este artículo detallaremos algunos de los cambios que tuvo la ISO 27001 con respecto a su versión del 2013 y que es importante recordar y tener presentes porque hasta octubre del año 2025 las organizaciones tendrán tiempo para ajustar sus sistemas de gestión actuales. 

Cambios en la estructura

Lo primero es saber que la ISO 27001 conserva sus 11 cláusulas, sin embargo, las cláusulas 4, 5, 6, 7, 8, 9 y 10 tuvieron algunas modificaciones menores. Algunas de las más llamativas son:

Cláusula 4 - Contexto de la organización

4.2. Ahora las organizaciones deben identificar los requisitos pertinentes de las partes interesadas y especificar cuáles van a ser abordados en el SGSI.

4.4. El SGSI ahora incluye de forma explícita los “procesos necesarios y sus interacciones”.

Cláusula 6 - Planificación

6.1.3. Sobre los controles de riesgos. Ahora la norma especifica que los objetivos de control no son concretamente controles de seguridad o están directamente asociados a ellos: ya no habla de objetivos de control, sino simplemente de controles. 

6.2. Los objetivos de seguridad de la información ahora deben ser monitoreados y documentados. 

6.3. Es una nueva cláusula sobre la necesidad de planificar cambios que necesite el SGSI. 

Cláusula 7 - Soporte

7.4. Sobre la comunicación cambió “quién comunicará” a “cómo comunicar”, además, ya no hay necesidad de crear un proceso para llevar a cabo la comunicación. 

Cláusula 8 - Operación

8.1. Fue sustituido el requisito de planificar los objetivos de seguridad de la información por el requisito de establecer criterios para que los procesos implementen acciones identificadas en la cláusula 6, además de controlarlos. 

Igualmente, esta versión solicita que la información documentada siempre esté disponible y que la organización controle los procesos, productos o servicios proporcionados por externos que sean relevantes para el SGSI.

Cláusula 9 - Evaluación del desempeño 

9.1. Sobre el seguimiento, medición, análisis y evaluación de la eficacia del SGSI, la norma actualizó los métodos para llevar a cabo estas acciones, ahora deben ser comparables y reproducibles. Y se destaca, una vez más, la importancia de mantener la documentación y que esté disponible. 

Cambios en el Anexo A

A diferencia del texto general de la norma ISO 27001, el Anexo A de esta, es decir, lo referente a los controles para la gestión de riesgos de seguridad de la información, sí tuvo cambios significativos, comenzando con que ya no son 114 controles sino 93, que están organizados en 4 secciones y no en 14 como en la versión del 2013. 

De estos 93 controles hay 11 que son nuevos, que fueron incluidos para dar respuesta a las tendencias actuales de tecnologías de la información y de seguridad. Además, 35 de estos se mantuvieron igual a como estaban y 23 cambiaron de nombre. 

Las 4 secciones o capítulos en los que están organizados estos controles del Anexo A son:

1. Organizacionales: con 37 controles.
2. Tecnológicos: con 34 controles.
3. Físicos: con 14 controles.
4. De personas: con 8 controles. 

Y los 11 nuevos controles en este Anexo A son: 

1. Supervisión de la seguridad física.
2. Inteligencia de amenazas.
3. Gestión de la configuración.
4. Eliminación de la información.
5. Enmascaramiento de datos. 
6. Prevención de fuga de datos.
7. Seguimiento de actividades.
8. Seguridad de la información para el uso de servicios en la nube.
9. Filtrado web.
10. Configuración segura.
11. Preparación de las TIC para la continuidad del negocio. 

Finalmente, es importante que sepas que para facilitar el análisis de los 93 controles de la ISO 27001:2022 y especificar cuáles de estos son aplicables o no al SGSI de tu organización, fueron clasificados según 5 atributos principales de seguridad de la información:

1. Tipo de control: preventivo, detectivo o correctivo.
2. Propiedades de seguridad de la información: confidencialidad, integridad y disponibilidad. 
3. Conceptos de ciberseguridad: identificación, protección, detección, respuesta y recuperación.
4. Capacidades operativas: gestión de activos.
5. Dominios de seguridad: gobernanza, protección de los activos. 

En Pirani, a través de nuestro sistema de seguridad de la información ISMS facilitamos a tu organización la creación y evaluación de controles para el SGSI, que puedes asociar fácilmente a los riesgos identificados y a los activos de información registrados, así como caracterizar cada uno de estos controles de acuerdo a los atributos que exige la norma. 

Crea tu cuenta en Pirani, comienza a gestionar los riesgos de seguridad de la información con el Plan Free y conoce más de cómo te acompañamos a dar cumplimiento a la ISO 27001:2022.