Dado que gran parte de los negocios y el comercio se realizan de forma digital, la información, los datos y la ciberseguridad deben ocupar siempre un lugar destacado en la lista de preocupaciones de los directivos. Puede que el tema de las ciberamenazas y los ciberataques haya dejado de ser noticia en los últimos meses por los costes de la energía y las preocupaciones por la seguridad, pero la ciberamenaza no ha disminuido y puede que incluso haya aumentado.
Así, la publicación de la última versión de la norma ISO/IEC 27001 el 25 de octubre de 2022 nos recuerda que todas las empresas están cada vez más expuestas a los riesgos de seguridad de la información. ISO/IEC 27001 es la norma internacionalmente reconocida de sistemas de gestión de la seguridad de la información (SGSI) que ayuda a las empresas a gestionar y proteger de forma proactiva sus activos de información y a gestionar y mitigar los incidentes de seguridad. También ayuda a abordar el cumplimiento de la normativa y a satisfacer los requisitos de los clientes.
Las violaciones de la seguridad y los ciberataques pueden provocar pérdidas significativas y daños a la reputación. Para evitarlo, las organizaciones deben gestionar las amenazas actuales y, en caso necesario, reducir los riesgos. Esto contribuirá a fomentar la confianza de las partes interesadas y a minimizar el riesgo de pérdidas económicas y trastornos. La implantación de un marco sólido y estructurado para identificar, gestionar y mitigar los riesgos impulsará la mejora continua y reforzará la continuidad del negocio.
ISO/IEC 27001 está diseñada para ser compatible y armonizada con otras normas ISO reconocidas de sistemas de gestión. La última revisión importante de la norma fue en 2013. Por eso, se consideró necesario actualizar la norma, incluidos los controles de seguridad de la información definidos en la norma ISO/IEC 27002, con los escenarios de ciberataques y violaciones de la seguridad de los datos que se han desarrollado entretanto.
Las organizaciones certificadas con la versión actual de 2013 de la norma ISO 27001 tendrán tres años para realizar la transición a la nueva versión. Esto significa que su SGSI actual debe cumplir los nuevos requisitos antes de noviembre de 2025. Para las organizaciones que aún no están certificadas, lo mejor sería intentar obtener la certificación según la nueva norma inmediatamente.
Los principales cambios que aporta la última versión de la norma ISO/IEC 27001...
La estructura de la nueva versión es idéntica a la de la versión anterior, pero refleja los conceptos de Ciberseguridad y Seguridad de los datos. Basta con echar un breve vistazo para comprobar que los cambios se refieren casi exclusivamente al conjunto revisado de controles de la norma ISO/IEC 27002. Éstos se mencionan en el Anexo A de la norma ISO/IEC 27001. El anexo A establece los controles de seguridad de la información para un sistema de gestión de la seguridad de la información basado en ISO/IEC27001. El número total de controles se ha revisado de 114 a 93 controles. Hay 11 nuevos controles de seguridad, 58 se han actualizado y 24 se han fusionado para simplificar y reflejar mejor los nuevos escenarios a los que se enfrentan las empresas. Los controles se han reorganizado en 4 "categorías" de control: organizacionales, orientados a las personas, físicos y tecnológicos. La norma ISO/IEC 27002 también ofrece a los usuarios y responsables de su aplicación actualizaciones útiles en la sección de orientación de los controles, incluidos más ejemplos.Los 11 nuevos controles son:
Además de los controles, hay algunos cambios menores para alinearse con las últimas actualizaciones de la Estructura de Alto Nivel (HLS) de ISO. Las principales áreas del sistema de gestión afectadas son el liderazgo, la seguridad corporativa, las funciones de TI y otras funciones de apoyo. Para los proveedores de servicios, la entrega también se ve afectada. La nueva versión permite una gestión de riesgos más eficaz gracias a los controles de seguridad actualizados.
…y las ventajas
Las principales ventajas de la nueva versión pueden resumirse en:
- Permite una gestión más eficaz de los riesgos, ya que los controles de seguridad del anexo A se han mejorado para reflejar los escenarios actuales que deben afrontar las empresas.
- Ayuda a las empresas a reevaluar sus riesgos y amenazas y a implantar controles de seguridad adecuados a un contexto con una interconectividad en constante aumento, tecnología en la nube y de automatización, malware y ransomware y otras vulnerabilidades.
- Se amplía para incluir la ciberseguridad y la privacidad, conectando mejor el sistema de gestión de la seguridad de la información con estas cuestiones críticas a las que deben hacer frente las empresas.
- Proporciona una mejor estructura y presentación de los controles del Anexo A, y con un lenguaje más claro y sencillo.