Cambios en la ISO 27001

No, la norma ISO 27001 no ha sido actualizada, aún. La norma que ha sido actualizada es la norma ISO 27002, ahora estamos en la versión 2022. Se repite: no hay cambios en la ISO 27001.

La norma de seguridad de la información más conocida, implementada y certificada es la norma ISO 27001, Sistema de gestión de seguridad de la información, sin embargo, aún continuamos en su versión 2013.

Lo característico de está norma es que exige que se implemente su “Anexo A” el cual contiene los famosos 114 controles.

Los que conocen esta norma saben que automáticamente uno se debe remitir a la norma ISO 27002 versión 2013 ya que en ella se detallan los 114 controles.

¿Cuál es el problema? Pues que en febrero de este año (2022) se actualizó y se hicieron grandes modificaciones, entonces: ¿Qué pasa con la norma ISO 27001?

Cambios en la norma ISO 27002

Los cambios realizados responden a la eliminación de redundancias, principalmente integrando, pero también eliminando controles.

En concreto tenemos lo siguientes:

  • Ahora tenemos 93 controles frente a los 114 anteriores
  • Se han introducido 11 controles nuevos
  • Se han integrado 57 controles antiguos en 24 nuevos
  • Se mantienen 58 controles con el mismo nombre

Agrupación de controles

Los controles los encontraremos desde el capítulo cinco al ocho agrupados de la siguiente manera:

  • Organizativos, con 37 controles.
  • Personas, con 8 controles.
  • Físicos, con 14 controles.
  • Tecnológicos, con 34 controles

Nuevos controles:

  • 5.7 Información sobre amenazas.
  • 5.23 Seguridad de la información para el uso de servicios en la nube.
  • 5.30 Preparación de las TIC para la continuidad de la actividad.
  • 7.4 Vigilancia de la seguridad física.
  • 8.9 Gestión de la configuración.
  • 8.10 Eliminación de información.
  • 8.11 Enmascaramiento de datos.
  • 8.12 Prevención de la fuga de datos.
  • 8.16 Servicios de control.
  • 8.22 Filtrado web.
  • 8.28 Codificación segura.

Control eliminado:

  • 11.2.5 Retirada de activos

Finalmente

Se recuerda a toda organización que la norma certificable es la norma ISO 27001 y esa hace mención a los controles de SU anexo (no de la 27002). Lo que tocaría a ISO es aprobar los cambios en la ISO 27001 y aún así se daría un tiempo amplio para poder migrar a la actualización. Por lo tanto, no hay que preocuparse con respecto a las certificaciones, sin embargo, si tu organización se toma enserio la seguridad de la información debe ya considerar implementar nuevos y mejores controles siempre.

¿Quieres implementar la norma ISO 27001 en tu empresa?

En Capitalis podemos ayudarte

Comparte este Post

Noticias relacionadas

como certificar iso 9001

¿Cómo certificar una ISO?

La certificación de una norma ISO es un paso esencial para las empresas que desean garantizar la calidad, seguridad, y eficiencia de sus procesos, entonces

Read More »
Gestión de riesgos

La gestión de riesgos

El artículo aborda la gestión de riesgos en el contexto de la ISO 9001, explicando qué son los riesgos y su importancia para las empresas. Se destacan los principales tipos de riesgos en un proceso, como los operativos, financieros, tecnológicos y legales. También se explica por qué es crucial identificar los riesgos, ya que permite a las empresas anticiparse a problemas y desarrollar planes de mitigación. Finalmente, se enumeran los beneficios de la gestión de riesgos, como la mejora en la toma de decisiones, la reducción de costos, el aumento de la confianza del cliente y el cumplimiento regulatorio.

Read More »