(Elaborado por CARLOS VILLAMIZAR R.)

El 16 de Febrero de 2.022 fue publicada por ISO (International Organization for Standardization) la actualización de ISO27002, norma diseñada para uso por parte de las organizaciones como referencia para la selección de controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma certificable ISO/IEC 27001.

La publicación de 2.022 es la tercera versión de la norma ISO27002, que tuvo su primera versión en 2.005 y la segunda en 2.013, con lo cual se establece un ciclo de actualización de versiones cada 8 / 9 años. 

Estructura de la Norma ISO27002:2022

La nueva versión de la norma tiene la siguiente estructura:

Introducción: contextualiza el valor de la información para las organizaciones, cómo es alcanzada la seguridad de la información a través de la implementación de un conjunto de controles de seguridad, los requerimientos de seguridad de la información que debe determinar una organización, la determinación de controles para proteger la información, consideraciones del ciclo de vida de la información (desde su creación hasta su eliminación) y la relación de esta norma con otras normas (especialmente de la familia ISO/IEC 2700).

· Cláusula 1 - Alcance: indica que este documento está diseñado para que las organizaciones lo utilicen como referencia para la selección de controles en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001.

·  Cláusula 2 - Referencias normativas: no hay referencias normativas en esta norma.

· Cláusula 3 - Términos, definiciones y términos abreviados: relaciona un conjunto de términos, definiciones y abreviaturas que aplican en el contexto de esta norma.

· Cláusula 4 - Estructura del documento: determina las cláusulas, temas y atributos, y diseño de estructura de cada control incluido en la norma.

· Cláusulas 5 a 8: establece nombre de control, tabla de atributos, propósito, guía de implementación y otra información (si aplica) para controles de seguridad:

o   Organizacionales (Cláusula 5).

o   Personas (Cláusula 6).

o   Físicos (Cláusula 7).

o   Tecnológicos (Cláusula 8).

· Anexo A: Este anexo proporciona una tabla para demostrar el uso de los atributos como forma de crear diferentes vistas de los controles.

· Anexo B: Correspondencia entre ISO/IEC 27002:2022 con ISO/IEC 27002:2013

· Bibliografía: Relación de otras normas y documentos usados en esta norma.

Principales Cambios

A continuación, un resumen de los principales cambios de la norma ISO27001:2022 frente a la versión anterior:

1.  Cambio en el nombre de la norma: Se ha eliminado el término “Código de prácticas” del nombre de la nueva norma ISO 27002. Su nombre actual es “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”, lo cual refleja un contexto más amplio y que incluye ahora la prevención, detección y respuesta a ciberataques, así como la protección de los datos.

2. Cambios en controles de seguridad: La norma ISO 27002:2013 contenía 114 controles (divididos en 14 Anexos). La versión 2022 contiene 93 controles, divididos en 4 cláusulas que se enfocan hacia el contexto de aplicación del control así:

·        Controles Organizativos: 37 controles

·        Controles de Personas: 8 controles

·        Controles Físicos: 14 controles

·        Controles Tecnológicos: 34 controles

De los 93 controles actuales:

·         58 se han actualizado

·         24 representan la fusión de controles anteriores

·         11 se han introducido como nuevos controles

Este nuevo enfoque conlleva también la desaparición del concepto “objetivo de control”, aunque se incluye un atributo que permite la clasificación específica del control en uno o más de 15 categorías establecidas, como se indica en el siguiente apartado.

3.  Estructura de atributos de controles: cada uno de los 93 controles contiene una estructura de atributos particular que determina:

Tipo de control: atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información identificando si es Preventivo, Detectivo o Correctivo.

·      Propiedades de seguridad de la información: atributo para ver los controles desde la perspectiva de qué características de la información el control contribuirá a preservar: Confidencialidad, Integridad o Disponibilidad.

·   Conceptos de Ciberseguridad: atributo para ver los controles desde la perspectiva de la asociación de los controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110 y usado en otros marcos de trabajo como NIST-Cibersecurity Framework: Identificar, Proteger, Detectar, Responder, Recuperar.

·     Capacidades Operativas: atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información. Los valores de este atributo son:

o   Gobernanza,

o   Gestión de activos,

o   Protección de la información,

o   Seguridad de los recursos humanos,

o   Seguridad física,

o   Seguridad de sistemas y redes,

o   Seguridad de las aplicaciones,

o   Configuración segura,

o   Gestión de la identidad y del acceso,

o   Gestión de amenazas y vulnerabilidades,

o   Continuidad,

o   Seguridad de las relaciones con los proveedores,

o   Cumplimiento legal,

o   Gestión de eventos de seguridad de la información

o   Aseguramiento de la información

·    Dominios de Seguridad: atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información: Gobernanza y ecosistema, Protección, Defensa, Resiliencia

Ejemplo

A continuación, se muestra un ejemplo de la asignación de etiquetas a los atributos de los controles tomando como referencia uno de los nuevos controles tecnológicos incluidos en esta versión:

8.23 Filtrado Web

Control

El acceso a sitios web externos debe ser gestionado para reducir la exposición a contenidos maliciosos.

Propósito

Proteger los sistemas de ser comprometidos por malware y evitar el acceso a recursos web no autorizados.

Guía

La organización debería reducir los riesgos de que su personal acceda a sitios web que contengan información ilegal o que se sabe que contienen virus o material de phishing. Una técnica para lograr esto funciona bloqueando la dirección IP o el dominio del sitio web en cuestión. Algunos navegadores y tecnologías antimalware lo hacen automáticamente o pueden configurarse para que lo hagan…

Cómo podemos ayudarle?

A través de los servicios de consultoría y proyectos de Gestionar Asesores podemos ayudarle en:

o   Diagnóstico inicial de cumplimiento frente a ISO27002:2022 y apoyo para la formulación de cierre de brechas

o   Acompañamiento para la definición, implementación, mejora y monitoreo de su SGSI bajo ISO27001:2022 

o   Auditoría de verificación de cumplimiento 

o   Acompañamiento para la puesta en marcha de GlobalSuite Solutions para ISO27001