No, la norma ISO 27001 no ha sido actualizada, aún. La norma que ha sido actualizada es la norma ISO 27002, ahora estamos en la versión 2022. Se repite: no hay cambios en la ISO 27001.
La norma de seguridad de la información más conocida, implementada y certificada es la norma ISO 27001, Sistema de gestión de seguridad de la información, sin embargo, aún continuamos en su versión 2013.
Lo característico de está norma es que exige que se implemente su “Anexo A” el cual contiene los famosos 114 controles.
Los que conocen esta norma saben que automáticamente uno se debe remitir a la norma ISO 27002 versión 2013 ya que en ella se detallan los 114 controles.
¿Cuál es el problema? Pues que en febrero de este año (2022) se actualizó y se hicieron grandes modificaciones, entonces: ¿Qué pasa con la norma ISO 27001?
Cambios en la norma ISO 27002
Los cambios realizados responden a la eliminación de redundancias, principalmente integrando, pero también eliminando controles.
En concreto tenemos lo siguientes:
- Ahora tenemos 93 controles frente a los 114 anteriores
- Se han introducido 11 controles nuevos
- Se han integrado 57 controles antiguos en 24 nuevos
- Se mantienen 58 controles con el mismo nombre
Agrupación de controles
Los controles los encontraremos desde el capítulo cinco al ocho agrupados de la siguiente manera:
- Organizativos, con 37 controles.
- Personas, con 8 controles.
- Físicos, con 14 controles.
- Tecnológicos, con 34 controles
Nuevos controles:
- 5.7 Información sobre amenazas.
- 5.23 Seguridad de la información para el uso de servicios en la nube.
- 5.30 Preparación de las TIC para la continuidad de la actividad.
- 7.4 Vigilancia de la seguridad física.
- 8.9 Gestión de la configuración.
- 8.10 Eliminación de información.
- 8.11 Enmascaramiento de datos.
- 8.12 Prevención de la fuga de datos.
- 8.16 Servicios de control.
- 8.22 Filtrado web.
- 8.28 Codificación segura.
Control eliminado:
- 11.2.5 Retirada de activos
Finalmente
Se recuerda a toda organización que la norma certificable es la norma ISO 27001 y esa hace mención a los controles de SU anexo (no de la 27002). Lo que tocaría a ISO es aprobar los cambios en la ISO 27001 y aún así se daría un tiempo amplio para poder migrar a la actualización. Por lo tanto, no hay que preocuparse con respecto a las certificaciones, sin embargo, si tu organización se toma enserio la seguridad de la información debe ya considerar implementar nuevos y mejores controles siempre.
¿Quieres implementar la norma ISO 27001 en tu empresa?