Los cambios en la versión de 2022 de las normas de referencia en materia de seguridad de la información se refieren principalmente a los controles que ayudan a las empresas a abordar los cambiantes escenarios de seguridad y los riesgos relacionados.
La última actualización de la norma ISO/IEC 27002 fue en 2013, con pequeñas modificaciones en 2017. Por lo tanto, hacía falta una revisión desde hace tiempo. Los riesgos actuales de seguridad de la información, ciberseguridad y privacidad han cambiado drásticamente. La amenaza para todas las empresas se ha intensificado y la gestión de la seguridad de la información se ha convertido en una cuestión de continuidad y resiliencia del negocio. Los ataques o las infracciones pueden ser, en el mejor de los casos, una simple molestia, pero cada vez hay más casos en los que las empresas se ven gravemente afectadas, la producción se ve obstaculizada o se detiene por completo durante días e incluso semanas.
"El tema está muy presente en la mayoría de las agendas y consejos de administración de las empresas. Parece que todo el mundo está en riesgo, pero muchos no han implantado un sistema adecuado y sólido para identificar, gestionar y mitigar sus riesgos de seguridad de la información. La norma actualizada ayuda a las empresas a abordar los cambiantes escenarios de la seguridad de la información", afirma Nanda Kumar Shamanna, director de negocios de TIC de Business Assurance en DNV.
La nueva versión aborda los controles relacionados con las tecnologías digitales y en la nube para incorporar las amenazas a la ciberseguridad y la privacidad (como el ransomware y el malware). La norma también se ha revisado para abordar otras perspectivas de seguridad, mediante la identificación de diversos atributos.
Los cambios en esta norma de directrices tendrán un impacto en la norma certificable ISO/IEC 27001. Se espera que la revisión de la norma ISO/IEC 27001 se publique a finales de este año, posiblemente en octubre. Es previsible que los cambios estén relacionados únicamente con los controles (Anexo A). El calendario de transición se decidirá en el momento de la publicación de la norma ISO/IEC 27001:2022 a finales de este año; sin embargo, con la publicación de la norma ISO/IEC 27002 es posible iniciar los preparativos.
Las principales ventajas de la nueva versión para las empresas certificadas:
- Aborda nuevos escenarios y riesgos;
- Ayuda a comprender otras perspectivas de seguridad;
- Incluye aspectos de ciberseguridad y privacidad;
- Nuevos controles para garantizar que no se pierdan estos nuevos peligros y riesgos.