El pasado mes de febrero se publicó la nueva versión de la ISO 27002:2022.
La ISO 27002, es una guía de la familia de normas ISO 27000, que proporciona mejores prácticas en la seguridad de la información, que ahora con la nueva actualización pasan a llamarse controles de seguridad.
¿Cuáles son los principales cambios en la ISO 27002?
A grandes rasgos:
- Orientación a los conceptos de Ciberseguridad: Identificar, detectar, responder y recuperar;
- Se pasa de 14 dominios a 4 grandes categorías que agrupan todos los controles:
-
- Organizacionales: 37 controles, 34 existentes, 3 nuevos y
- Personal: 8 controles, todos existentes, ninguno nuevo ;
- Físicos: 14 controles, 13 existentes, 1 nuevos y
- Tecnológicos: 34 controles, 27 existentes, 7 nuevos;
- Aunque se reduce el número de controles, de 114 controles a 93, en realidad no se han eliminado, si no que se han agrupado 24 controles, se han actualizado 58 controles, y se han agregado 11 nuevos controles para las áreas de servicios de nube, inteligencia de amenazas y desarrollo seguro, y muchos de la versión anterior se han agrupado.
¿Cuáles son los 11 nuevos controles?
Cláusula 5. Controles organizacionales
- 5.7. Inteligencia de Amenazas
- 5.23. Seguridad de la Información para el uso de Servicios Cloud
- 5.30. Preparación de las TIC para continuidad del negocio
Cláusula 7. Controles Físicos
- 7.4. Monitorización de la seguridad Física
Cláusula 8. Controles Tecnológicos
- 8.9. Gestión de la Configuración
- 8.10. Borrado de información
- 8.11. Enmascaramiento de datos
- 8.12. Prevención de fuga de datos
- 8.16. Monitorización de actividades
- 8.23. Filtros Web
- 8.28. Desarrollo / Código seguro
¿Cómo me certifico con la norma ISO 27002?
Recordemos que la ISO 27002 es una guía de apoyo a la ISO 27001, que es la certificable. Con lo que, si la organización está por certificarse, lo haría aun sobre la norma en vigor ISO 27001:2013.
Si la organización cuenta ya con la certificación ISO27001, dentro del programa de certificación se irá los tiempos para tomar medidas para cumplir con la adaptación.
¿Cuánto tiempo tendría para adaptarme?
Una vez se apruebe la actualización de la ISO27001 con la actualización del Anexo A, donde se especifican los controles actuales. Suele darse un plazo de 2 años para adecuar las certificaciones.
Si, una organización está en proceso de implantación o de certificación de ISO 27001 esto se debe tener esto muy en cuenta, aunque ya podría trabajar o iniciar proactivamente la adaptación sobre la nueva ISO 27002.
La norma se puede encontrar de momento solo en versión en inglés, en la Tienda de AENOR o en la propia ISO.org .