La rápida evolución de la tecnología conlleva inherentemente nuevos riesgos derivados de amenazas y vulnerabilidades. A medida que se desarrollan continuamente amenazas informáticas cada vez más ofensivas y se identifican más vulnerabilidades, se generan tendencias, condiciones y necesidades en el campo de la seguridad de la información.

En este contexto, factores externos como nuevos modelos de negocio, la pandemia y los conflictos geopolíticos han tenido un impacto directo, lo que exige la renovación de los controles de seguridad. En respuesta a esta demanda, los estándares de seguridad se revisan y actualizan regularmente. Recientemente, se presentó la versión 2022 de la norma ISO 27001 (ISO/IEC 27001:2022), una de las principales referencias internacionales en ciberseguridad.

¿Cuáles son los cambios introducidos en esta nueva versión?

A finales de 2022, se publicó la ISO/IEC 27001:2022, la cual presenta cambios significativos en la cantidad y clasificación de los controles de seguridad, así como modificaciones menores en las cláusulas que definen los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Los detalles sobre la implementación de cada uno de los controles contemplados en la norma ISO/IEC 27001 se encuentran en la versión más reciente de la ISO/IEC 27002, un documento anteriormente conocido como «código de prácticas» y que sigue siendo una guía de implementación. Durante el año 2022, este último documento también ha sido actualizado y ha cambiado su título a «Information security, cybersecurity and privacy protection — Information security controls». Además, se ha modificado su estructura para adoptar una taxonomía más sencilla. Como parte de estos cambios, algunos controles se han fusionado, otros se han eliminado y se han añadido nuevos controles.

Es importante recordar que, mientras que la norma ISO 27001 establece los objetivos que una organización debe cumplir para obtener la certificación, la norma ISO 27002 establece los controles necesarios para alcanzar dichos objetivos.

A partir de los cambios introducidos en la norma ISO/IEC 27002:2022, se pueden identificar los cambios en el Anexo A de la norma ISO/IEC 27001:2022.

En estas nuevas versiones de los documentos, se han incorporado dos nuevos aspectos: temas y atributos. Los temas se refieren a la forma de categorizar los controles de seguridad y pueden equipararse a los dominios utilizados en las ediciones anteriores. De este modo, se pueden identificar cuatro temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos permiten una clasificación adicional basada en diferentes perspectivas o enfoques. Estos atributos se utilizan para filtrar, ordenar o presentar los distintos controles a diferentes audiencias.

Existen cinco tipos de atributos: basados en el tipo de control (preventivo, detectivo o correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (capacidades de seguridad desde la perspectiva de los profesionales o practicantes, como la gobernanza o seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).

Además, la nueva versión de la norma ISO 27001 reduce el número de controles de seguridad a 93. De esta manera, se pueden identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Es importante destacar que los objetivos de control, que describen los resultados esperados de la implementación de los controles, ya no se consideran en esta nueva edición.

La reducción en la cantidad de controles se debe a la reorganización y fusión de algunos de ellos. En la norma ISO 27001:2022 se han introducido 11 nuevos controles de seguridad que abordan las necesidades de protección relacionadas con las tendencias y enfoques actuales en ciberseguridad.

A continuación, se detallan los nuevos grupos y la organización de los controles correspondientes:

  1. Controles Organizacionales: Comprende 37 controles, de los cuales 3 son nuevos.
  2. Controles al Personal: Incluye 8 controles, sin cambios respecto a la versión anterior.
  3. Controles Físicos: Contiene 14 controles, de los cuales 1 es nuevo.
  4. Controles Tecnológicos: Engloba 34 controles, de los cuales 7 son nuevos.

Entre los nuevos controles que se han incorporado en esta versión se encuentran:

  • Inteligencia de amenazas.
  • Seguridad de la información en el uso de servicios en la nube.
  • Preparación de las TIC para la continuidad de negocio.
  • Supervisión de la seguridad física.
  • Gestión de la configuración.
  • Borrado de la información.
  • Enmascaramiento de datos.
  • Prevención de fugas de datos.
  • Seguimiento de actividades.
  • Filtrado web.
  • Codificación segura.

Además de la introducción de nuevos controles, se ha llevado a cabo la fusión de 57 controles de la versión anterior en 24 controles, lo que ha contribuido a la reducción del número total de controles.

Es importante destacar que algunos de los controles existentes en la versión de 2013 han experimentado modificaciones, lo que requerirá adaptaciones por parte de las organizaciones.

En cuanto a las fechas de adaptación a la norma ISO 27001:2022, la versión fue emitida el 25 de octubre de 2022. Sin embargo, no se exige una adaptación inmediata a los cambios. Se estima que la certificación según la nueva versión estará disponible entre febrero y abril de 2023, dependiendo de los Organismos de Acreditación. No obstante, la fecha límite para realizar auditorías basadas en la versión anterior de 2013 será 18 meses después de la nueva publicación, es decir, en abril de 2024. Esta fecha incluye tanto las auditorías iniciales como las de recertificación.

Por último, es importante destacar que a partir de los 3 años desde la nueva publicación, es decir, a partir de octubre de 2025, todos los certificados basados en la versión de 2013 serán invalidados.

En cuanto a la selección e implementación de controles, es importante tener en cuenta que estos se definen como medidas destinadas a mantener y/o modificar los riesgos asociados a la información y otros activos. Sin embargo, los controles no siempre logran el efecto de modificación deseado, por lo que es necesario revisarlos y actualizarlos constantemente para cumplir con las expectativas de protección basadas en los criterios de riesgo (aversión o propensión).

Además, las organizaciones no están obligadas a implementar todos los controles definidos en el estándar, pero si omiten alguno de ellos, deben documentar y justificar esta omisión en la Declaración de Aplicabilidad (SoA). Por lo general, la selección de los controles está determinada principalmente por los resultados de la evaluación de riesgos.

Finalmente, es importante recordar que las organizaciones pueden elegir e implementar controles o contramedidas para proteger sus activos basándose en otras fuentes de información y marcos de trabajo de ciberseguridad o seguridad de la información. Además, las buenas prácticas recomendadas en el estándar deben ser adoptadas, adaptadas y aplicadas según las características, necesidades y condiciones específicas de cada organización.