Hola a todos!
Recientemente, me ha tocado pegarme bastante con la ISO 27001 y llevaba un tiempo sin darle al tema, de hecho desde antes de la pandemia. Esto significa que yo, a pesar de haber pasado por todos los cursos de AENOR, haber estado en implantaciones y demás, no había trabajado aun con la última actualización.
Por esta razón, me ha tocado revisar los cambios que se han dado desde la versión anterior a la vigente, que es la 2022.
Aquí va un resumen sobre los principales cambios de la ISO 27001:2022.
Para comenzar ha habido una reestructuración del Anexo A en el que se ha producido una reducción y reorganización de los controles, pasando el número de controles de 114 a 93, reorganizados en 4 categorías en lugar de las anteriores 14. La composición es: 37 Controles organizacionales, 34 Controles tecnológicos, 14 Controles físicos y 8 Controles orientados a las personas. Además se han incorporado 11 controles para abordar desafíos actuales de ciberseguridad, dentro de los cuales se incluyen la inteligencia de amenazas, la seguridad en servicios en la nube, la gestión de la configuración, la eliminación de información, el enmascaramiento de datos, la prevención de fuga de datos, el monitoreo de actividades, el filtrado web, la configuración segura, la reparación de las TIC para la continuidad del negocio y la supervisión de la seguridad física.
Además, la norma adopta la estructura armonizada, facilitando la integración con otros sistemas de gestión ISO. También se enfatiza la necesidad de identificar procesos y sus interacciones dentro del Sistema de Gestión de Seguridad de la Información (SGSI).
Por otro lado, se actualizan cláusulas específicas como las siguientes:
- Cláusula 4.4: Requerimiento de definición de los procesos necesarios y sus interacciones para implementar y mantener el SGSI.
- Cláusula 5.3: Énfasis en la asignación y comunicación de responsabilidades y autoridades dentro de la organización.
Finalmente, se eliminan objetivos de control mediante la eliminación de las referencias a los objetivos de control en el Anexo A, lo cual simplifica notablemente la estructura y la alinea con la ISO/IEC 27002:2022.
Aunque es una nota para mi, espero que os resulte útil.
Un saludo