La nueva actualización de la norma ISO 27002:2022 ha traído algunos cambios importantes para las entidades certificadas. Conocer estos cambios es clave para poder renovar el proceso de certificación y poder continuar prestando sus servicios normalmente.
A continuación te contamos cuáles son esos cambios y las ventajas que traen. Contar con la asesoría de profesionales de TI siempre será la mejor opción para mantener tu empresa actualizada.
Cambios en la actualización ISO 27002:2022
De manera general vemos que la actualización ISO 27002:2022 adopta 5 cambios principales:
- Nueva nomenclatura
- Nuevo nombre
- Cambios en la estructura de los controles
- Cambios en los controles
- Nuevos conceptos y definiciones de atributos
Sin embargo, es importante recalcar que esta actualización aun no es certificable y tomará algún tiempo más hasta que se realicen los cambios correspondientes al Anexo A de ISO 27001.
Nueva nomenclatura
En primer lugar, ocurre un cambio logístico que afecta el nombre de la norma, dado que migra del comité de “Técnicas de Seguridad” en las “Tecnologías de la Información”. Ahora, la norma ISO 27002:2020 hace parte de “Seguridad de la información, Ciberseguridad y Protección de la Privacidad”.
Este cambio plantea un contexto conceptual y de aplicación más amplio e incluye elementos nuevos que explicaremos más adelante.
Cambio de nombre
De lo anterior se desprende que el documento ya no se denomina un “Código de prácticas” sino que consiste en un listado detallado de Controles para la Seguridad de la Información. Como resultado, la norma se llama: “ISO 27001: Seguridad de la Información, Ciberseguridad y Protección de la Seguridad – Controles de Seguridad de la Información”.
Cambios en la organización de los controles
En esta nueva actualización de ISO 27002:2022 se presenta un nuevo marco conceptual con una estructura diferente para los controles respecto a la previa ISO 27002:2013. En primer lugar, se reducen los 14 dominios de los controles a 4, y se clasifican en 4 categorías:
- Organizacionales (37)
- Personas (8)
- Físicos (14)
- Tecnológicos (34)
Adicionalmente, se eliminan los Objetivos de Control. En su lugar, se introducen 15 categorías de atributos que se utilizan para caracterizar a cada uno de los controles, como veremos más adelante.
Cambios en los controles
Además de los dominios, los controles en sí mismos han sufrido algunos cambios en esta nueva actualización ISO 27002:2022:
- Su número ha disminuido, pasando de 114 a 93. Este cambio no se ha logrado solamente eliminando controles, sino reformando y combinando los existentes primordialmente.
- Ha sido eliminado 1 control, el número 11.2.5 relacionado con la Remoción de recursos.
- Se han reformado y combinado 57 controles existentes dando lugar a 24.
- Se han creado 11 nuevos controles.
- Se han mantenido 58 controles de la misma manera.
Entre los nuevos controles creados, se encuentran temas como Prevención de fugas de datos, Filtrado web y Seguridad de la información para el uso de servicios en la nube.
Nuevos conceptos y definiciones de atributos
Por último, entre los principales cambios que encontramos en la actualización de la norma ISO 27002:2022 encontramos la creación de nuevos atributos y una nueva estructura, que caracterizan a los controles. Estos se dividen 5 categorías y contienen un total de 30 valores diferentes:
- Tipo de Control (3)
- Propiedades de Seguridad de la Información (3)
- Conceptos de Ciberseguridad (5)
- Capacidades Operacionales (15)
- Dominios de seguridad (4)
Cada uno de los controles puede adquirir uno o más valores de cada categoría.
Retorno a una estructura conocida
De manera general, la serie de regulaciones ISO 27000 venía presentando un tipo de categorías de agrupación de los controles que ya era familiar. En la actualización 27001 del 2013 se adoptó un enfoque que duplicaba información al proveer Objetivos de control, lo cual se corrige acertadamente con ISO 27002:2022.
Una actualización esperada
Dado que la última actualización realizada a la norma se había dado en 2013, la nueva entrega era en realidad esperada y es bien recibida. Esto es así porque en los últimos años, la virtualidad ha visto incrementar los riesgos operativos de seguridad en la tecnología de la información a causa de la revolución digital.
