Blog
dark mode light mode Search Archivos descargables
Search

Lo que necesitas saber sobre los cambios a la ISO 27002

Si estás pensando en certificarte en ISO 27001 o en renovar tu certificación, estas son noticias importantes

¿Sabías que la ISO 27002 se actualizó y tienes hasta 3 años para aplicar los cambios?

Así es, desde febrero de 2022, ISO 27002 cambió sus controles e incluyó atributos para cada uno, te damos un breve y completo resumen aquí. 

Nuevo orden y nuevos controles

Uno de los cambios más importantes que tuvo ISO 27002 está en la agrupación de los controles. En esta nueva versión en lugar de contar con 14 dominios (lo que agrupa a los diferentes controles), ahora hay 4 temas diferentes: 

  • Controles organizacionales. Aquí podemos encontrar 37 controles en total. Estos se enfocan principalmente en la seguridad administrativa de tu empresa; cómo lo son las políticas de seguridad de la información.
  • Controles de personas. Este tema tiene un total de 8 controles que se centran en la seguridad del capital humano. Los términos y condiciones de empleo, son un ejemplo de lo que puedes encontrar en este tipo de controles.
  • Controles físicos. Con un total de 14 controles, estos involucran todo lo que tenga que ver con instalaciones físicas. Por ejemplo: controles de entrada a las oficinas, es decir, si necesitas una tarjeta para entrar, o un pin para abrir la puerta.
  • Controles tecnológicos. Un ejemplo de los 34 controles que conforman esta sección puede ser, la autenticación segura para acceder a cualquier sistema de la empresa. Por ejemplo, que se te pida al menos usuario y contraseña, o  bien un doble factor de autenticación, un token, etc.

Además de eso, se eliminó un control, se fusionaron algunos y se crearon 11 nuevos controles. ¿Cuánto rollo, no?  Al final, nos quedamos con 93 controles en lugar de los 114 que se tenían antes. 

#atributos

Otra sorpresa es que ISO busca modernizarse un poco e incluyó los famosos hashtags que nuestros millenials usan para todo, #Estoschavosdehoy . Estos, se utilizaron para indicar los atributos (características) que tiene cada uno de los controles.

En el anexo A de la ISO 27002:2022 se detallan estos 5 atributos:

  • Tipo de control: Te indica cuándo y cómo el control impacta sobre la gestión de riesgos. Por ejemplo: control correctivo (aplica después de que la amenaza ocurre), control detectivo (aplica cuando la amenaza ocurre) y control preventivo (aplica antes de que la amenaza ocurra).

Los posibles valores del atributo son: #Correctivo, #Detectivo, #Preventivo.

  • Propiedad de SI: Los atributos de este grupo contribuyen a preservar una o más de las 3 características de la seguridad de la información.

Los posibles valores del atributo son: #Confidencialidad, #Integridad, #Disponibilidad.

  • Concepto de ciberseguridad: Te ayuda a que tu empresa se alinee a los cinco grandes dominios de ciberseguridad.

Los posibles valores del atributo son: #Detectar, #Identificar, #Proteger, #Recuperar, #Responder.

  • Capacidad operacional: Estos atributos te ayudan a agrupar controles de una manera práctica. Por ejemplo, por responsabilidades o gestión operativa.

Los posibles valores del atributo son: #Gobernanza, #Gestión de Activos, #Protección de la Información, #Seguridad en los Recursos Humanos, #Seguridad Física, #Seguridad en sistemas y Redes, #Seguridad en Aplicaciones, #Seguridad en la Configuración, #Gestión de Accesos e Identidades, #Gestión de Amenazas y Vulnerabilidades, #Continuidad, #Seguridad en Relaciones con Proveedores, #Legal y Cumplimiento, #Gestión de Eventos de Seguridad de la Información, #Aseguramiento de la Seguridad.

  • Dominio de Seguridad: Te ayuda a clasificar los controles desde la perspectiva de aplicación.

Los posibles valores del atributo son: #Defensa, #Gobierno_y_ecosistema, #Protección, #Resiliencia.

¿Cómo influye en la ISO 27001?

Sabemos que los cambios se aplicaron a la ISO 27002 pero, ¿qué impacto tiene en la ISO 27001?

El Anexo A de la ISO 27001 te proporciona una lista de controles que te ayudan a mitigar los riesgos de tu sistema de gestión de seguridad de la información (SGSI) pero no los describe. Es aquí donde entra la ISO 27002. 

Esta ISO te da la descripción detallada de cómo implementar todos, y cada uno de los controles, del anexo A de la ISO 27001. En pocas palabras, ISO 27001 te dice qué controles aplicar e ISO 27002, cómo aplicarlos.  

Hackmetrix insight: La ISO 27002 a pesar de ser la guía detallada de controles que ayudan a mitigar los riesgos de tu SGSI y un conjunto de buenas prácticas, no es certificable. Sin embargo, en Hackmetrix te recomendamos tomarla como base para disminuir los riesgos de tu SGSI y certificarte exitosamente en ISO 27001. 

Si ya implementaste ISO 27001, y la acompañaste con ISO 27002, tienes hasta 3 años para actualizar tu certificación. Los cambios se encuentran en la declaración  de aplicabilidad, ya qué tendrías que ver cuántos de los ahora 93 controles aplican a tu empresa. 

¡Spoiler Alert! Se espera que para mediados de este año se actualice la ISO 27001. Específicamente el anexo A para que sea compatible con la nueva versión de ISO 27002. Además, se espera que tenga cambios menores en algunas cláusulas.  

Conclusión

Te recomendamos echarle ojo a esta nueva versión de la ISO 27002. Aunque se quitaron, agregaron y fusionaron algunos controles, en esencia, esta ISO mantiene su objetivo. Qué es ayudar a aplicar los controles para mitigación de riesgos de la ISO 27001.

Recuerda que tienes 3 años para apegarte a estas mejores prácticas de seguridad.

Hackmetrix newsletter ciberseguridad