La norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información proporciona a las empresas un marco para gestionar los riesgos y protegerse de las amenazas con el fin de mantener seguros los activos de información, desde la información financiera y la propiedad intelectual hasta los datos de los empleados, entre otros.
Hoy en día, la seguridad de la información está aumentando en la agenda de casi todas las empresas. Con los nuevos escenarios, la urgencia está cambiando. Entre el aumento de la adopción de la Nube y las tecnologías de automatización, la ciberseguridad, la privacidad, el malware y el ransomware por sí solos, las empresas se ven obligadas a reevaluar su contexto, los principales riesgos y amenazas, y las partes interesadas pertinentes de una manera estructurada y de confianza.
Con la última versión publicada en 2013, una nueva versión era necesaria para ayudar a las empresas a navegar por nuevos escenarios y asegurarse de que los controles de seguridad actuales están en su lugar.
La versión ISO/IEC 27001:2022
La nueva versión ISO/IEC 27001:2022 aborda los nuevos escenarios que deben afrontar las empresas. Los cambios se encuentran principalmente en el Anexo A, anticipado por la publicación de ISO/IEC 27002, donde se han añadido, suprimido o fusionado controles de seguridad. Los cambios se amplían para incluir aspectos de ciberseguridad y privacidad, y se actualiza el lenguaje de los controles y se añaden directrices adicionales. Esto ayuda a las empresas a gestionar los riesgos, asegurarse de que no se olvida nada y hacer el debido seguimiento.
La última versión se publicó en 2013. No es sorprendente que los cambios en los controles de seguridad sean bastante significativos: 11 nuevos, 58 actualizados y 24 fusionados. Los escenarios cambiantes que se abordan son, en particular:
- Introducción de tecnologías digitales como la nube y la automatización;
- La reciente y creciente adopción de dichas tecnologías;
- Reconocimiento de los riesgos para la ciberseguridad y la privacidad;
- Reflejar el cambiante panorama de las amenazas, por ejemplo, nuevos tipos de malware y ransomware;
- Alineación con otras buenas prácticas, como NIST, COBIT, etc.
- Actualizar el lenguaje de control y añadir orientaciones adicionales.
Las principales áreas afectadas por los cambios son:
- liderazgo;
- seguridad corporativa;
- la función de TI
- otras funciones de apoyo;
- entrega (para proveedores de servicios).
Para cumplir la normativa, las organizaciones deben reevaluar sus evaluaciones de riesgos y restablecer sus controles de seguridad.
Además de los cambios en los controles, la edición 2022 también se ha adaptado a las últimas actualizaciones de la Estructura de Alto Nivel (HLS) de ISO. Estos cambios se basan en la última versión del Anexo SL de las Directivas ISO/IEC Parte 1 (2022). Sin embargo, estos cambios se consideran menores, ya que la edición de 2013 fue una de las primeras normas en adoptar la HLS.
Calendario de transición a ISO/IEC 27001:2022
La nueva versión de la norma ISO/IEC 27001 se publicó el 25 de octubre de 2022. El plazo de transición es de 3 años. Por lo tanto, los certificados actuales de 2013 deben pasar a la nueva versión antes de noviembre de 2025.
La auditoría de transición puede llevarse a cabo durante cualquier auditoría programada durante el período de transición de 3 años, pero también puede realizarse como auditoría de transición especial.
Prepararse para la implantación
Le recomendamos que empiece a prepararse para la transición lo antes posible y que planifique adecuadamente la incorporación de los cambios necesarios en su sistema de gestión.
Pasos recomendados para la transición:
- Conozca el contenido y los requisitos de la nueva norma. Céntrese en los cambios que implica la norma revisada.
- Asegúrese de que el personal pertinente de su organización recibe formación y comprende los requisitos y los cambios clave.
- Identifique las deficiencias que deben subsanarse para cumplir los nuevos requisitos y establezca un plan de implantación.
- Implantar medidas y actualizar su sistema de gestión para cumplir los nuevos requisitos.
Cómo podemos ayudarle
Tanto si está actualmente certificado en ISO/IEC 27001 como si es la primera vez que utiliza la norma, DNV puede ayudarle en la certificación y transición de su sistema de gestión de la seguridad de la información. Como organismo de certificación líder en el mundo, estamos trabajando con pequeñas y grandes empresas para sus necesidades de seguridad de la información y privacidad en todo el mundo.
Si se está preparando para la transición de la versión 2013 a la versión 2022, podemos apoyarlo con:
- Formación en la que aprenderá sobre la revisión y obtendrá una visión general básica de los cambios clave y del proceso de transición.
- Herramientas de autoevaluación online y evaluaciones de deficiencias in situ y externas para medir en qué medida su sistema de gestión cumple los nuevos requisitos.
- Auditoría de transición para adaptar su certificación a la nueva versión de la norma.
Podemos ayudarle en cada paso del camino.
¿Desea obtener la certificación ISO/IEC 27001 por primera vez? Visite nuestra página de servicios de sistemas de gestión de la seguridad de la información para obtener más información sobre sus características, ventajas y camino hacia la certificación.