ISO/IEC 27002:2002: ¿Qué debemos conocer sobre los recientes cambios al estándar?


InfoGuard. (2021, November 19). ISO [Photograph]. ISO/IEC 27002:2022 – WHAT YOU SHOULD KNOW ABOUT THE NEW CHANGES. https://www.infoguard.ch/en/blog/iso/iec-270022021-what-you-should-know-about-the-new-changes


Cuando hablamos de ciberseguridad, es común escuchar que nunca se estará 100% seguro, por diversas situaciones que tienen su grado de complejidad, partiendo desde los usuarios, hardware, software, y el balance que debe existir entre la usabilidad de estos sistemas y la seguridad que estos requieren. Y es importante recalcar este hecho, que no podemos decir que un sistema está completamente seguro, sin embargo, podemos hacer que este sistema sea seguro contra las vulnerabilidades conocidas. Parte de las responsabilidades en el mundo del cumplimiento es el de analizar los estragos que el ciber crimen causa a diario, a un sinfín de industrias, desde pequeñas hasta multinacionales y en todos los rubros, sean públicas o del sector privado y así mismo estar consciente sobre las vulnerabilidades que existen y que podrían estar afectando su organización y poder prevenir un futuro daño. El conocer sobre los estándares que están disponibles para hacer esto posible es indispensable para poder tomar acción a tiempo.


Dentro de estos estándares, encontramos al ISO/IEC 27001 e ISO/IEC 27002, los cuales tienen como objetivo principal el de mejorar la seguridad de la información de una organización. ISO/IEC 27001 tiene un enfoque que proporciona ayuda hacia la gestión de un sistema de seguridad de la información, mientras que ISO/IEC 27002 proporcionará la guía para cumplir con este estándar anteriormente mencionado, de tal manera que sea implementado de una forma apropiada y eficaz.


Recientemente, el 15 de febrero del 2022, se ha publicado una versión actualizada sobre el estándar ISO/IEC 27002, el cual también tendrá efecto sobre el ISO/IEC 27001. Ahora bien, sobre estos cambios surgen ciertas cuestiones, y en particular una que engloba la mayoría de estas para todas las organizaciones que ya se encuentran certificadas, que están en el proceso de o que se está buscando: ¿cuál es el impacto de dichos cambios? Para poder comprender esta actualización, es necesario saber qué es lo que ya incluye el estándar en cuestión.


¿En qué se enfoca ISO/IEC 27002?

Este se encuentra definido para utilizarse como una base al implementar los controles descritos en el estándar ISO 27001, los cuales describen los procesos ideales a seguir al tratar riesgo y al ser aplicados estos procesos, a un sistema de gestión de seguridad de la información (SGSI). Incluye las mejores prácticas y requisitos basados en el Anexo A del estándar ISO 27001 que asistirán durante la implementación de este, así como su mantenimiento y mejora. Estos riesgos y vulnerabilidades se abran visto durante la evaluación de riesgos realizada previamente.


¿Qué se puede esperar de la actualización de ISO/IEC 27002?


La nueva versión del estándar se ha actualizado, principalmente para poder simplificar el proceso de implementación, a grandes rasgos los cambios se reflejan sobre el Anexo A (las cláusulas 4 a 10 permanecen sin cambios): el número de secciones ha disminuido de 14 a 4 secciones; el número de controles también ha sido actualizado de 114 a 93, además nuevos controles se han añadido y con todo esto los cambios que se requieren (numeración, fusión y separación, estructura y atributos).


Así implicando cambios al Sistema de Gestión de Seguridad de la Información que se irán aplicando paulatinamente a lo largo de 2/3 años, duración del periodo de transición para las compañías que ya se encuentran certificadas, sucediendo en cuanto se actualice el estándar ISO 27001, esto para que en forma coincidan los cambios.


Desglose de los cambios aplicados ISO 27002:2022 ahora incluye 93 controles distribuidos en 4 secciones, adicionalmente un Anexo A y un Anexo B (anteriormente 14 secciones con 114 controles, sin embargo, no se ha excluido ningún control):

  • Controles sobre la organización (cláusula 5)

  • Controles sobre los usuarios (cláusula 6)

  • Controles físicos (cláusula 7)

  • Controles tecnológicos (cláusula 8)

  • Anexo A – uso de los atributos

  • Anexo B – relación con ISO 27001

Se agregaron 11 controles:

  • Inteligencia de amenazas (5.7)

  • Seguridad de la información para el uso de servicios en la nube (5.23)

  • Preparación de las TIC para la continuidad del negocio (5.30)

  • Supervisión de la seguridad física (7.4)

  • Gestión de la configuración (8.9)

  • Eliminación de información (8.10)

  • Enmascaramiento de datos (8.11)

  • Prevención de fuga de datos (8.12)

  • Actividades de seguimiento (8.16)

  • Filtrado web (8.23)

  • Codificación segura (8.28)


Se han renombrado 23 controles para su mejor comprensión. 35 controles permanecen sin cambios en su estructura, más que en la enumeración y asignación dentro de las 4 secciones mencionadas anteriormente. A su vez, 57 controles han sido fusionados en 24 controles. Solo 1 control fue dividido: § Revisión del Cumplimiento Técnico (18.2.3) se dividió en: - Cumplimiento de políticas, normas y estándares de seguridad de la información (5.3.6); - Gestión de vulnerabilidades técnicas (8.8); Algo a destacar sobre la actualización en cuestión, es el uso de atributos, el cual será útil para poder filtrar y agrupar los controles, incluido en el Anexo A:

  • Tipo de control

  • Propiedades de seguridad de la información

  • Conceptos de ciberseguridad

  • Capacidades operacionales


El diagrama siguiente presenta un resumen de las actualizaciones destacadas que fueron realizadas al estándar ISO 27002:2022:




Es importante recalcar quién se verá afectado por estos cambios y la causa de esto; esto aplicará para aquellas empresas que ya se encuentren certificadas, las que están en el proceso de serlo y/o las que están buscando nuevamente la certificación. La causa de ello es un tanto simple, ya que, si los controles han sido modificados, es necesario una revisión a los procedimientos que los involucran: evaluación de riesgos, la Declaración de Aplicabilidad, revisión de políticas. Esto para determinar cuales se aplicarán a la organización en particular.


Además, la implementación de dicho estándar, ayudará a crear una mejor conciencia de la seguridad de la información con el entendimiento de esta, a su vez que proporciona un mayor control sobre el Sistema de Gestión de Seguridad de la Información (SGSI) y todo lo que involucra (políticas, registro de activos, procedimientos, manejo de riesgos, cumplimiento).


Sin embargo, este proceso consta de un periodo de transición que tomara un par de años en lo que se ajusta al estándar ISO 27001. Así que, si una empresa busca iniciar el proceso de certificación, puede hacerlo sin problema alguno, ya que los cambios agregados si bien son destacables, no presentan un cambio drástico al estándar, más que una mera simplificación de lo anterior, y esto se podría realizar utilizando los controles existentes, sin embargo, será de gran ayuda revisar los controles agregados y como estos podrían implementarse en el futuro.



Autora

Odalys Vasquez


Referencias

International Organization for Standardization. (2022). ISO/IEC 27002:2022: Information security, cybersecurity and privacy protection — Information security controls. Obtenido de ISO.org: https://www.iso.org/standard/75652.html


Iseni, A., & Vesa, H. (2022). How Will ISO/IEC 27002:2022 Impact ISO/IEC 27001. Obtenido de: https://pecb.com/article/how-will-isoiec-270022022-impact-isoiec-27001


ISMS.Online. (2022). ISO 27002 Ultimate Guide. Obtenido de: https://www.isms.online/iso-27002/


Mackie, R. (2022). SO/IEC 27002:2022: A High-Level Breakdown of the Update. Obtenido de: https://www.schellman.com/blog/iso/iec-270022022-breakdown


Sekuro. (2022). Everything To Know About The ISO 27002: 2022 Updates. Obtenido de: https://sekuro.io/blog/iso-27002-2022-updates/


The 27000.org. (2022). Introduction To ISO 27002 (ISO27002). Obtenido de: https://www.27000.org/index.htm


21 views0 comments

Recent Posts

See All