Contacto

Noticias

  • Inicio
  • Nueva versión de ISO 27001: 2022

Nueva versión de ISO 27001: 2022

vsistemas-iso-27001-2022
vsistemas-iso-27001-2022

Nueva versiu00f3n ISO 27001:2022

1. Introducciu00f3n

Se ha editado recientemente, el 25 de octubre de 2.022, la nueva ediciu00f3n de la norma ISO27001 que es el referente en lo que respecta a sistemas de gestiu00f3n de seguridad de la informaciu00f3n.

La publicaciu00f3n de esta nueva versiu00f3n de la norma va a exigir a las empresas certificadas el realizar la adecuaciu00f3n a la misma.

En este artu00edculo se trata de comentar los principales cambios que incluye y de aclarar el proceso de adecuaciu00f3n a la misma con los tiempos requeridos.

2. Principales cambios en la ISO 27001:2022

Los principales cambios que incluye esta nueva versiu00f3n son:

  • 2.1 Cuerpo de la norma

A nivel del cuerpo normativo (del apartado 4 al 10 de la norma) no cambia pru00e1cticamente nada, salvo:

  • Se incluye un nuevo punto u201c6.3 Planificaciu00f3n de Cambiosu201d que hace referencia a la planificaciu00f3n de los cambios dentro del propio sistema de gestiu00f3n y, por lo tanto, el primero que tendremos que planificar es el de la propia migraciu00f3n / adaptaciu00f3n / adecuaciu00f3n a la nueva norma (este punto no aparece en el u00edndice de la norma, pero su00ed en el desarrollo de la misma)
  • SoA (declaraciu00f3n de aplicabilidad): se deberu00e1 realizar una nueva SoA de acuerdo a los requisitos del Anexo A que cambia en su totalidad
  • Anu00e1lisis de riesgos: se podru00e1n de sustituir las matrices de trazabilidad entre los controles y las amenazas, incluyendo aspecto de madurez de los controles (no es exigible de acuerdo con norma, pero su00ed conveniente y es pedido por muchos auditores)
  • Seguimiento y control: queda por ver cu00f3mo van a aplicar las certificadoras los requisitos en cuanto al seguimiento y mediciu00f3n de los controles (evidentemente todo control que tenga un nivel de madurez 4 deberu00e1 ir acompau00f1ado de un sistema de mediciu00f3n). La organizaciu00f3n deberu00e1 definir quu00e9 medir y establecer la sistemu00e1tica de sistema de seguimiento.

Anu00e1lisis del contexto de la organizaciu00f3n: las empresas deberu00e1n realizar un mayor esfuerzo a la hora de identificar amenazas (privacidad, NIS, nube, derechos digitales, ciberseguridad, inteligencia artificial, etc.), tanto asociadas a factores internos como externos, y a registrar dicho anu00e1lisis de riesgos y oportunidades

  • 2.2 Anexo A de controles tu00e9cnicos

El Anexo A de la norma cambia de forma global:

  • Mu00e1s allu00e1 de los aspectos numu00e9ricos (de 114 controles a 93), aquu00ed el cambio es radical en tanto en cuanto que desaparecen los 3 niveles d.o.c (dominio, objetivo de control y control) y se queda en 2 niveles
  • Pasamos de 14 dominios a 4 apartados:
    • Organizativos
    • Personal
    • Seguridad fu00edsica
    • Tecnologu00eda
  • Asociado a cada control vamos a tener 5 atributos como son:
    • Tipo de control: #preventivo, #detectivo o #correctivo
    • Propiedades de seguridad de la informaciu00f3n: #confidencialidad, #integridad y #disponibilidad
    • Conceptos de ciberseguridad: #Identify, #Protect, #Detect, #Respond y #Recover
    • Capacidades operativas: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_, #Application_security, u2026.
    • Dominios de seguridad: #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
  • Del mismo modo, asociado a cada control vamos a tener el requisito en su00ed y un objetivo (propousal)
  • A nivel numu00e9rico los cambios mu00e1s representativos son:
    • Se pasa de 114 controles a 93
    • 53 controles se mantienen igual
    • En 2 controles se incremente un tanto los requisitos
    • En 5 controles hay modificaciones significativas
    • 22 controles se reagrupan
    • Hay 11 nuevos controles:
      • 5.7 Inteligencia de las amenazas: consiste en recopilar y analizar informaciu00f3n sobre amenazas existentes o emergentes con el fin de facilitar acciones informadas para evitar que las amenazas causen dau00f1o a la organizaciu00f3n, o reducir el impacto de dichas amenazas
      • 5.23 Seguridad de la informaciu00f3n para el uso de servicios en la nube (tanto para los proveedores como para la propia empresa). Habru00e1 que ver los controles de la ISO27017
      • 5.29 Seguridad de la informaciu00f3n durante la interrupciu00f3n: ver cu00f3mo se mantiene la seguridad en caso de interrupciu00f3n del servicio
      • 5.30 Preparaciu00f3n de las TIC para la continuidad de las actividades: seru00edan bu00e1sicamente los antiguos 17.1.1, 17.1.2 y 17.1.3 de la ISO27001 de 2.013
      • 7.4 Vigilancia de la seguridad fu00edsica: videovigilancia de las instalaciones
      • 8.9 Gestiu00f3n de la configuraciu00f3n: no se requiere una CMDB pero hay que ir avanzando en la gestiu00f3n de la configuraciu00f3n
      • 8.10 Eliminaciu00f3n de la informaciu00f3n: no se trata del borrado de los metadatos que ya existu00eda en el ENS, sino de la eliminaciu00f3n de la informaciu00f3n en soporte papel y digital, borrado en las bases de datos, borrado de los datos en el cloud, de acuerdo, estos 2 u00faltimos, con la polu00edtica de retenciu00f3n de datos de que disponga cada empresa
      • 8.11 Enmascaramiento de datos: ofuscaciu00f3n, anonimizaciu00f3n / ofuscaciu00f3n, etc.
      • 8.12 Prevenciu00f3n de fugas de datos: inclusiu00f3n de polu00edticas DLP
      • 8.16 Seguimiento de actividades: implementaciu00f3n de SIEMs
      • 8.23 Filtrado de webs: no se trata tanto de montar un WAF sino de disponer de sistemas de control de navegaciu00f3n por contenidos (du00f3nde se navega, filtrado de contenidos y antivirus de navegaciu00f3n web)
      • 8.28 Codificaciu00f3n segura: se trata de dar instrucciones de codificaciu00f3n (programaciu00f3n) segura y realizar un control de dicha codificaciu00f3n
3. Plazos de transiciu00f3n a la ISO 27001:2022

Los plazos para la adecuaciu00f3n a la nueva ISO27001 son los siguientes:

  • Fecha de publicaciu00f3n de la norma: octubre de 2.022
  • ENAC dispone de 6 meses para poder estar lista para acreditar a las certificadoras (ya estu00e1 publicado)
  • Certificadoras acreditadas: disponen de 12 meses para adecuarse a la ISO27001: 2022, con lo que, en un principio hasta octubre de 2.023 no se van a poder realizar auditorias bajo la nueva norma (estos son plazos mu00e1ximos, pero alguna certificadora puede acreditarse antes)
  • Se dispondru00e1 hasta octubre de 2.025 para realizar las auditorias de adaptaciu00f3n a la nueva versiu00f3n, siendo posible solicitar la auditoria de adecuaciu00f3n entre octubre de 2.023 hasta octubre de 2.025.
  • Las empresas que se vayan a certificar por primera vez deberu00e1n hacerlo a partir de octubre de 2.023 por la nueva versiu00f3n

Contacte con VSistemas…

91 279 53 53

Si lo prefieres escribanos a…

info@vsistemas.es

Noticias

Últimas Noticias

Descubre nuestras actualizaciones, consejos, y tendencias del sector que pueden ayudarte a optimizar tus procesos y estar a la vanguardia.

VSistemas

¡Estamos aquí para ayudarte con soluciones innovadoras!

Desde ciberseguridad hasta consultoría, en VSistemas somos tu aliado estratégico. Contacta a VSistemas y transforma tu visión tecnológica en resultados!

Contactar con VSistemas
VSistemas
Servicios
Documentación
  • Calle Cedro, 41 28250 Torrelodones
  • 91 279 53 53
  • e-mail: info@vsistemas.es
Linkedin
© VSistemas - Vertical Sistemas de Información S.L.