Revisión de ISO 27001 2013 vs. 2022: ¿qué ha cambiado?

Después de nueve años, se actualizó ISO 27001, el estándar de seguridad de la información líder en el mundo: el 25 de octubre de 2022 se publicó el nuevo ISO/IEC 27001:2022. Aunque esta revisión trae solo cambios moderados, es importante estudiarlos de cerca: repasemos todos los cambios y veamos cómo se compara esta revisión de 2022 con la anterior revisión de 2013 de ISO 27001.

Principales cambios en la revisión ISO 27001 2022:
  • La parte principal de ISO 27001, es decir, las cláusulas 4 a 10, ha cambiado solo ligeramente.
  • Los cambios en los controles de seguridad del Anexo A son moderados.
  • El número de controles ha disminuido de 114 a 93.
  • Los controles se colocan en 4 secciones, en lugar de las 14 anteriores.
  • Hay 11 controles nuevos, aunque ninguno de los controles se eliminó y muchos controles se fusionaron.

Infografía que compara ISO 27001:2013 con la revisión de ISO 27001:2022

Historial de ISO 27001 e ISO 27002

La primera versión de ISO 27001 se publicó allá por 1999 con el nombre de BS 7799-2 y desde entonces ha sufrido varios cambios.

Puede ver los cambios entre las revisiones de 2005 y 2013 de ISO 27001 en este artículo: Infografía: Nueva revisión de ISO 27001 2013: ¿Qué ha cambiado?

La ISO 27001 no debe confundirse con la ISO 27002: la primera es la norma principal con la que puede certificar su empresa, mientras que la segunda es la norma de apoyo que proporciona pautas sobre la implementación de controles de seguridad. La diferencia más importante es que ISO 27002 no es obligatorio para la certificación ISO 27001 y una empresa no puede obtener la certificación ISO 27002.

ISO 27002 se publicó por primera vez en 1995 con el nombre de BS 7799-1, y en febrero de este año se publicó la revisión de ISO 27002:2022 con la nueva estructura de 93 controles; esta misma estructura de controles fue adoptada por ISO 27001:2022 , como se explica a continuación.

Comparación

En general, en comparación con la revisión de 2013, los cambios en la revisión de ISO 27001:2022 son de pequeños a moderados. La parte principal del estándar permanece con 11 cláusulas, y los cambios en esta parte del estándar son pequeños (ver más abajo).

A primera vista, el Anexo A ha cambiado mucho: la cantidad de controles se redujo de 114 a 93 y está organizado en solo cuatro secciones en comparación con las 14 secciones de la revisión de 2013. Sin embargo, después de una mirada más cercana, se vuelve obvio que los cambios en el Anexo A son solo moderados; consulte la explicación a continuación.

Cambios en el sistema de gestión

El texto de las cláusulas obligatorias 4 a 10 ha cambiado solo ligeramente, principalmente para alinearse con ISO 9001, ISO 14001 y otras normas de gestión ISO, y con el Anexo SL.

Aquí hay una breve descripción general de los cambios en ISO 27001: 2022:

  • En la cláusula 4.2 (Comprensión de las necesidades y expectativas de las partes interesadas), se agregó el ítem (c) que requiere un análisis de cuáles de los requisitos de las partes interesadas deben ser atendidos a través del SGSI.
  • En la cláusula 4.4 (Sistema de gestión de la seguridad de la información), se agregó una frase que requiere la planificación de los procesos y sus interacciones como parte del SGSI.
  • En la cláusula 5.3 (Funciones, responsabilidades y autoridades de la organización), se agregó una frase para aclarar que la comunicación de las funciones se realiza internamente dentro de la organización.
  • En la cláusula 6.2 (Objetivos de seguridad de la información y planificación para lograrlos), se agregó el inciso (d) que requiere que los objetivos sean monitoreados.
  • Se agregó la Cláusula 6.3 (Planificación de cambios), que requiere que cualquier cambio en el SGSI debe realizarse de manera planificada.
  • En la cláusula 7.4 (Comunicación), se eliminó el inciso (e), que requería establecer procesos para la comunicación.
  • En la cláusula 8.1 (Planificación y control operativo), se agregaron nuevos requisitos para establecer criterios para los procesos de seguridad y para implementar procesos de acuerdo con esos criterios. En la misma cláusula, se eliminó el requisito de implementar planes para el logro de objetivos.
  • En la cláusula 9.3 (Revisión de la dirección), se agregó el nuevo elemento 9.3.2 c) que aclara que los aportes de las partes interesadas deben ser sobre sus necesidades y expectativas, y relevantes para el SGSI.
  • En la cláusula 10 (Mejora), las subcláusulas han cambiado de lugar, por lo que la primera es Mejora continua (10.1), y la segunda es No conformidad y acción correctiva (10.2), mientras que el texto de esas cláusulas no ha cambiado.

  •  Cambios en los controles de seguridad del Anexo A

En realidad, los cambios en el Anexo A son solo moderados porque la mayoría de los controles se han mantenido iguales (35 de ellos) o solo han cambiado de nombre (23). Se fusionaron otros 57 controles, lo que redujo el número de controles, pero los requisitos dentro de esos controles permanecieron casi iguales. Finalmente, un control se dividió en dos controles separados, mientras que los requisitos permanecieron iguales. Para ver cómo han cambiado los controles, descargue este documento técnico gratuito: Descripción general de los nuevos controles de seguridad en ISO 27002:2022 .

Hay 11 nuevos controles, que eran necesarios debido a las tendencias en TI y seguridad; puede ver los detalles aquí: Explicación detallada de 11 nuevos controles de seguridad en ISO 27001:2022 .

Sugerencia: puede usar esta herramienta de conversión de ISO 27001:2013 a ISO 27001:2022 para averiguar cómo se relacionan los controles de la revisión anterior del estándar con los nuevos.

Periodo de transicion

De acuerdo con el documento "Requisitos de transición para ISO/IEC 27001:2022" del Foro Internacional de Acreditación, para las empresas que ya están certificadas con ISO 27001:2013, la transición a ISO 27001:2022 debe completarse antes del 31 de octubre de 2025.

Los organismos de certificación deben comenzar a certificar a las empresas según la norma ISO 27001:2022 a más tardar el 31 de octubre de 2023, pero estoy seguro de que la mayoría de ellos comenzará con esta nueva revisión mucho antes. Si tiene dudas sobre si optar por la certificación según la revisión de 2013 o 2022, utilice esta herramienta gratuita: ¿Debería comenzar a implementar la revisión de ISO 27001 2013 o 2022?

Consejo: Si ya implementó la revisión anterior de 2013 del estándar y desea hacer una transición a la revisión de 2022 de ISO 27001, programe una consulta gratuita con nuestro experto en ISO 27001.

¿Cuánto ha cambiado?

En resumen, los cambios en la parte principal del estándar son solo pequeños y se pueden realizar con bastante rapidez, con solo ligeros cambios en la documentación y los procesos. Los cambios en los controles del Anexo A son moderados y pueden solucionarse en su mayoría agregando los nuevos controles a la documentación existente.

Después de nueve (largos) años de espera por esta nueva revisión, algunos profesionales de la seguridad esperaban que los cambios fueran más extensos, pero creo que las empresas que ya están certificadas contra la revisión de 2013 se sentirán aliviadas de que el trabajo a realizar no es ese. grande después de todo.

Fuente: 27001Academy

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más