Nueva ISO/IEC 27002:2022
ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información fue concebida como una guía que detallaba cómo implementar los 114 controles de la norma ISO/IEC 27001. No es certificable y con respecto a la versión anterior (2013), evolucionó. De ser una guía pasó a ser un documento que ofrece una visión integral. Es decir, Si ISO/IEC 27001 es el qué, ISO/IEC 27002 nació para ser el cómo.
El propósito del estándar se profundiza conforme va actualizándose:
- 27002:2005 Establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.
- 27002:2013 Brinda pautas para los estándares de seguridad de la información de la organización y las prácticas de gestión de la seguridad de la información
- 27002:2022 Proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Seguridad de la información, ciberseguridad y protección de datos.
La perspectiva integral de ISO/IEC 27002:
- Prioriza el enfoque y protección de los activos de información
- Enfatiza el monitoreo al separar los objetivos de algunos controles.
- Favorece la priorización al integrar varios controles que se convierten en uno.
- Se basa en resiliencia, protección, defensa y gestión.
El estándar está más cercano a las necesidades de seguridad de la información actuales. Ofrece una visión holística orientada a blindarnos en diferentes flancos.
Más necesario que nunca
La actualización de la norma es pertinente y necesaria. La respuesta a incidentes de seguridad de ISO/IEC 27002: 2022 es más rápida y eficaz. Esta nueva versión brinda a las organizaciones la posibilidad de desarrollar sus propias directrices, basadas en la gestión de riesgos de seguridad de la información.
Algunos de los cambios más relevantes son:
- Cambio en la configuración general de «código de práctica» a «control de seguridad de la información».
- Se presenta como una guía flexible que permite la toma de decisiones basada en riesgo.
- Adición de atributos que permiten filtrar y referenciar fácilmente.
- Las 14 cláusulas se cambian por 4 temas principales.
- Disminución de la cantidad de controles (de 114 a 93).
- Cuenta con 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos.
- 1 control eliminado (eliminación de activos).
- 11 nuevos controles.
- Enlace claro y documentado a otros marcos.
- Tiene 152 páginas (la versión anterior tenía 80).
La reducción de controles no significa que se omitieron algunos requisitos, sino que muchos de los controles generales de la versión 2013 se fusionaron en un solo control y se agregaron 11 nuevos controles. Estos últimos representan los nuevos desarrollos en la industria de la seguridad cibernética y de la información. Debido a la naturaleza holística del estándar y el hecho de que la nueva forma de describir los controles deja a la organización la posibilidad de definir sus propias implementaciones de control adecuadas, esta nueva norma ISO/IEC 27002:2022 es capaz de adaptarse fácilmente a situaciones operativas cambiantes.
Nuevos controles ISO/IEC 27002:2022:
- Inteligencia de amenazas.
- Seguridad de la información para el uso de servicios en la nube.
- Preparación de las TIC para la continuidad del negocio.
- Supervisión de la seguridad física.
- Gestión de la configuración.
- Eliminación de información.
- Enmascaramiento de datos.
- Prevención de fuga de datos.
- Actividades de seguimiento.
- Filtrado web.
- Codificación segura.
Hasta ahora vemos que el gran cambio ha sido el rediseño de las cláusulas. El segundo es que se crearon cinco categorías de atributos que se definen para cada uno de los controles:
Atributo | Elementos |
Tipos de control | Preventivo, detectivo, correctivo. |
Propiedades de seguridad de la información | Confidencialidad, integridad, disponibilidad |
Conceptos de ciberseguridad | Identificar, proteger, detectar, responder, recuperar. |
Capacidades operativas | Gobernanza, gestión de activos, protección de la información, Derechos Humanos, seguridad de recursos, seguridad física, seguridad de sistemas y redes,seguridad de aplicaciones, configuración segura, identidad y acceso, gestión, gestión de amenazas y vulnerabilidades, continuidad, proveedor. |
Aunque dispondremos de un tiempo prudencial para adaptarnos a estos cambios, ajustarnos al nuevo estándar nos dotará de una buena herramienta para garantizar la seguridad de la información y demostraremos a nuestros colaboradores, clientes y partes interesadas que estamos al tanto de los nuevos desarrollos en la industria de la seguridad de la información.