La nueva norma ISO/IEC 27002 y su impacto en las organizaciones

 

La acelerada transformación digital que han experimentado las organizaciones en los últimos años naturalmente ha tenido un impacto en el escenario de riesgos que deben gestionar, con un crecimiento significativo del ciber riesgo. 

Este contexto ha llevado a que a los efectos de proteger los activos de información, las medidas de ciberseguridad hayan pasado a tener un peso significativamente mayor a otras dentro del universo de la seguridad de la información. 

La norma ISO/IEC 27001, estándar de referencia a nivel mundial para la gestión de la seguridad de las organizaciones de todo tipo, sin distinción por tamaño o sector, toma como referencia para su base de controles recomendados a la ISO/IEC 27002, referenciando a estos controles en su Anexo A.

La norma ISO/IEC 27002 es una base de referencia detallada a los efectos de implementar estos controles, pero no una referencia de requisitos para la certificación del SGSI.

Ambas normas vigentes tienen su última fecha de publicación en el 2013, si bien se han seguido revisando periódicamente y manteniendo la norma inicial sin cambios.

No obstante, la ISO/IEC 27002 hace tiempo que se percibía estancada y no ajustada al nuevo escenario que enfrentan las organizaciones. 

Por lo que este 2021, o eventualmente principio del 2022, se espera una nueva versión de la ISO/IEC 27002.

Muchas organizaciones hace años que han venido ampliando su marco de controles o sumando otros estándares o marcos de referencia para potenciar los aspectos de Ciberseguridad que el Anexo A de la ISO/IEC 27001, y la ISO/IEC 27002 no planteaban de forma clara o directa. Eso es un elemento importante de la ISO/IEC 27001, que siempre permitió ampliar la base de controles establecida por el Anexo A, que es una lista base que debe ser considerada, pero siempre ampliable a la realidad y contexto de cada organización.

Es así que esta nueva versión de la ISO/IEC 27002 es pertinente y bienvenida, y naturalmente llevará a una revisión de la ISO/IEC 27001, fundamentalmente su Anexo A, y por ende la lista de controles mínimos que toda organización debe considerar para gestionar adecuadamente la seguridad de su información. 

En la medida que la ISO/IEC 27002 y ISO/IEC 27001 han sido las normas de referencia de varias regulaciones y normativas a nivel internacional, es natural esperar que en los próximos años se inicien diversas actualizaciones en este sentido.

¿Qué estaría cambiando en la nueva ISO/IEC 27002?

La principal diferencia entre el Borrador de Norma Internacional (DIS) y la versión de 2013 es la estructura del conjunto de controles. La mayoría de los controles de la ISO 27002 se mantienen sin cambios, pero ahora se han reagrupado de los 14 dominios existentes a 4 grandes “Temas”, según a que refiere el control.

 

Los Temas establecidos son: 

 

 

A su vez, a cada control se le han asociado cuatro atributos, que pueden ser utilizados para aplicar diferentes criterios de agrupación o filtrado y generar diferentes “vistas” de los controles.

Los atributos definidos son:

a) Tipos de control (#Preventivo, #Detectivo, #Correctivo)

b) Propiedades de seguridad de la información (#Confidencialidad, #Integridad, #Disponibilidad)

c) Conceptos de ciberseguridad (#Identificar, #Proteger, #Detectar, #Responder, #Recuperar)

d) Capacidades operativas. Los valores del atributo consisten en #Gestión, #Gestión_de_activos, #Protección_de_la_información, #Seguridad_de_los_recursos_humanos, #Seguridad_física, #Seguridad_del_sistema_y_de_la_red, #Seguridad_de_las_aplicaciones, #Configuración_segura, #Gestión de identidades y accesos, Gestión de amenazas y vulnerabilidades, Continuidad, Seguridad de las relaciones con los proveedores, Cumplimiento legal, Gestión de eventos de seguridad de la información y Aseguramiento de la seguridad de la información. Dominios de seguridad (#Gobierno_y_Ecosistema, #Protección, #Defensa, #Resiliencia)

 

Estos nuevos criterios de clasificación y filtrado, retorna a las  categorías tradicionales de agrupación de controles de seguridad que hemos visto a lo largo de las décadas.

 

El número de controles también se ha reducido de 114 a 93 en el DIS, con la introducción de 11 nuevos controles, la supresión de 1 control existentes, la consolidación de 57 controles anteriores en 24 actuales y el mantenimiento de 58 con la misma denominación.

 

La ISO 27002 incluirá nuevos controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.

 

A un nivel más amplio, hay cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.

Las diferencias se resumen en la siguiente tabla:

                                                                                                                                                                                                                

            

¿Cómo afecta la nueva revisión de la ISO 27002 a la ISO 27001?

 

La norma ISO/IEC 27002 tiene su origen en la ISO/IEC 17799, siendo la primera norma ISO de referencia de buenas prácticas para la gestión de la seguridad de la información.

Luego que se renumeraron y surgió el conjunto de controles 27000, la ISO/IEC 27002 fue tomada como referencia para el Anexo A de la ISO/IEC 27001.

Naturalmente, en este contexto, una actualización de la norma ISO 27002 afectará inevitablemente al conjunto de controles de la norma ISO 27001. Por lo que se espera que estos cambios se reflejen en el Anexo A de la norma ISO 27001 después de la publicación oficial de la ISO 27002 actualizada, de forma de mantener coherencia entre ambas normas.

 

¿Cómo afecta a las organizaciones que ya tienen la certificación ISO?

Actualmente no hay ningún impacto en las organizaciones que ya mantienen un SGSI certificado hasta que se haya aprobado la nueva ISO/IEC 27002 y se haya actualizado el Anexo A, en una nueva versión de la ISO/IEC 27001. Por lo general, las organizaciones tendrán un período de gracia antes de que se les exija adoptar la norma ISO 27001 revisada y es probable que las organizaciones aborden los cambios junto con el próximo ciclo de auditoría de recertificación una vez que se publique la norma revisada.

 

Para las organizaciones que pretenden certificar su SGSI, esto no debería ser un obstáculo. Las organizaciones deberían familiarizarse con el nuevo conjunto de controles y, con la ayuda del mapeo a la versión 2013, prepararse para la certificación.

 

 

Esta artículo fue realizado analizando la última versión borrador publicada y comercializada por la ISO.

https://www.iso.org/standard/75652.html

https://www.iso.org/stages-and-resources-for-standards-development.html

 

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

   

Miembro de