Los principales cambios de la actualización de la norma ISO 27002:2022

El pasado 16 de febrero de 2022 fue publicada por ISO (International Organization for Standardization) la actualización de ISO 27002, norma diseñada para uso por parte de las organizaciones como referencia para la selección de controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma certificable ISO/IEC 27001.

La publicación de 2022 es la tercera versión de la norma ISO 27002, que tuvo su primera versión en 2.005 y la segunda en 2.013, con lo cual se establece un ciclo de actualización de versiones cada 8/9 años. Actualmente se encuentra disponible únicamente en idioma inglés.

La nueva versión de la norma ISO 27002 tiene la siguiente estructura:

Introducción: contextualiza el valor de la información para las organizaciones, cómo es alcanzada la seguridad de la información a través de la implementación de un conjunto de controles de seguridad, los requerimientos de seguridad de la información que debe determinar una organización, la determinación de controles para proteger la información, consideraciones del ciclo de vida de la información (desde su creación hasta su eliminación) y la relación de esta norma con otras normas (especialmente de la familia ISO/IEC 2700).

• Cláusula 1 – Alcance: indica que este documento está diseñado para que las organizaciones lo utilicen como referencia para la selección de controles en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001.
• Cláusula 2 – Referencias normativas: no hay referencias normativas en esta norma.
• Cláusula 3 – Términos, definiciones y términos abreviados: relaciona un conjunto de términos, definiciones y abreviaturas que aplican en el contexto de esta norma.
• Cláusula 4 – Estructura del documento: determina las cláusulas, temas y atributos, y diseño de estructura de cada control incluido en la norma.
• Cláusulas 5 a 8: establece nombre de control, tabla de atributos, propósito, guía de implementación y otra información (si aplica) para controles de seguridad:
• Organizacionales (Cláusula 5).
• Personas (Cláusula 6).
• Físicos (Cláusula 7).
• Tecnológicos (Cláusula 8).
• Anexo A: Este anexo proporciona una tabla para demostrar el uso de los atributos como forma de crear diferentes vistas de los controles.
• Anexo B: Correspondencia entre ISO/IEC 27002:2022 con ISO/IEC 27002:2013
• Bibliografía: Relación de otras normas y documentos usados en esta norma.

A continuación, un resumen de los principales cambios de la norma ISO27001:2022 frente a la versión anterior:

1. Cambio en el nombre de la norma: Se ha eliminado el término “Código de prácticas” del nombre de la nueva norma ISO 27002. Su nombre actual es “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”, lo cual refleja un contexto más amplio y que incluye ahora la prevención, detección y respuesta a ciberataques, así como la protección de los datos.
2. Cambios en controles de seguridad: La norma ISO 27002:2013 contenía 114 controles (divididos en 14 Anexos). La versión 2022 contiene 93 controles, divididos en 4 cláusulas que se enfocan hacia el contexto de aplicación del control así:

• Controles Organizativos: 37 controles
• Controles de Personas: 8 controles
• Controles Físicos: 14 controles
• Controles Tecnológicos: 34 controles

De los 93 controles actuales:

• 58 se han actualizado
• 24 representan la fusión de controles anteriores
• 11 se han introducido como nuevos controles

Este nuevo enfoque conlleva también la desaparición del concepto “objetivo de control”, aunque se incluye un atributo que permite la clasificación específica del control en uno o más de 15 categorías establecidas, como se indica en el siguiente apartado.

3. Estructura de atributos de controles: cada uno de los 93 controles contiene una estructura de atributos particular que determina:

• Tipo de control: atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información identificando si es Preventivo, Detectivo o Correctivo.
• Propiedades de seguridad de la información: atributo para ver los controles desde la perspectiva de qué características de la información el control contribuirá a preservar: Confidencialidad, Integridad o Disponibilidad.
• Conceptos de Ciberseguridad: atributo para ver los controles desde la perspectiva de la asociación de los controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110 y usado en otros marcos de trabajo como NIST-Cibersecurity Framework: Identificar, Proteger, Detectar, Responder, Recuperar.
• Capacidades Operativas: atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información. Los valores de este atributo son:
  • Gobernanza,
  • Gestión de activos,
  • Protección de la información,
  • Seguridad de los recursos humanos,
  • Seguridad física,
  • Seguridad de sistemas y redes,
  • Seguridad de las aplicaciones,
  • Configuración segura,
  • Gestión de la identidad y del acceso,
  • Gestión de amenazas y vulnerabilidades,
  • Continuidad,
  • Seguridad de las relaciones con los proveedores,
  • Cumplimiento legal,
  • Gestión de eventos de seguridad de la información
  • Aseguramiento de la información
• Dominios de Seguridad: atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información: Gobernanza y ecosistema, Protección, Defensa, Resiliencia

 Ejemplo

A continuación, se muestra un ejemplo de la asignación de etiquetas a los atributos de los controles tomando como referencia uno de los nuevos controles tecnológicos incluidos en esta versión:

8.23 Filtrado Web

Control

El acceso a sitios web externos debe ser gestionado para reducir la exposición a contenidos maliciosos.

 Propósito

Proteger los sistemas de ser comprometidos por malware y evitar el acceso a recursos web no autorizados.

Guía

La organización debería reducir los riesgos de que su personal acceda a sitios web que contengan información ilegal o que se sabe que contienen virus o material de phishing. Una técnica para lograr esto funciona bloqueando la dirección IP o el dominio del sitio web en cuestión. Algunos navegadores y tecnologías antimalware lo hacen automáticamente o pueden configurarse para que lo hagan…[1]

[1] Traducción No Oficial

Debido a que la norma ISO 27001, cuya versión vigente aún es la del año 2.013, tiene un Anexo A que hace referencia a 114 controles de seguridad detallados en ISO 27002:2013, y tomando en cuenta la publicación de la nueva versión de ISO 27002:2022 se prevé que el Anexo A de la norma ISO 27001 se alineará con estos nuevos cambios y por tanto la actualización del Anexo A de la ISO 27001 se producirán en algún momento en el transcurso del presente año.

Cuando este evento ocurra, las organizaciones certificadas en ISO 27001:2013 que deseen conservar su certificación tomando en cuenta el nuevo Anexo, deberán tener en cuenta lo siguiente:

• Actualizar su proceso de tratamiento de riesgos considerando los nuevos controles
• Actualizar su declaración de aplicabilidad
• Adaptar algunas secciones de sus políticas y procedimientos existentes.
• Adaptar algunas métricas e indicadores de seguridad

Aquellas organizaciones que no actualicen su SGSI considerando los cambios del Anexo A, podrán ver revocada su certificación.

Para realizar dicha actualización, las organizaciones cuentan con un período de transición que típicamente es de 2 años a partir de la fecha oficial de actualización