Transición de ISO 27001: Controles de 2013 a 2022

Si estás buscando información sobre cómo mantener la certificación ISO 27001 y cumplir con las últimas actualizaciones, estás en el lugar correcto. Sabemos que la transición entre la versión 2013 y 2022 puede parecer un desafío, pero es una gran oportunidad para mejorar la seguridad de tu información y optimizar tus procesos. Con cambios clave en los controles y un plazo que vence en octubre de 2025, ahora es el momento perfecto para actuar y garantizar que tu empresa esté preparada.

A continuación, te contamos los puntos más relevantes sobre las diferencias entre ambas versiones y cómo puedes adaptarte fácilmente.

1.Principales Cambios en los Controles de ISO 27001: 2013 vs. 2022

Un cambio destacado en la versión 2022 es la actualización del Anexo A, que reestructura y moderniza los controles para alinearlos mejor con las necesidades actuales de seguridad. En lugar de los 114 controles organizados en 14 dominios de la versión 2013, el Anexo A ahora incluye 93 controles distribuidos en 4 categorías:

1. Controles Organizacionales
2. Controles de Personas
3. Controles Físicos
4. Controles Tecnológicos

Controles Eliminados

Algunos fueron eliminados en la versión 2022, ya sea porque quedaron obsoletos, fueron absorbidos por otros controles o ya no eran relevantes para el estándar actual.

• El control 6.1.5 (Gestión de Riesgos Relacionados con los Proveedores) fue eliminado y sus aspectos clave se integraron en el nuevo control de gestión de la cadena de suministro.
• El control 14.2.1 (Desarrollo Seguro de Software) fue absorbido en un control más amplio de seguridad en el ciclo de vida del software.
• A.6.2.2 Teletrabajo
• A.8.2.2 Etiquetado de información
•  A.11.2.5 Retirada de activos
• A.11.2.6 Seguridad equipos fuera
• A.14.2.8 Pruebas de seguridad sistema
•  A.17.2.1 Disponibilidad instalaciones

Controles Consolidados

Controles que existían por separado en la versión 2013 y que en la versión 2022 se unificaron en un solo control para simplificar y evitar redundancias.

• Los controles sobre acceso a redes y protección de datos en tránsito (13.1.1 y 13.2.1) ahora están integrados en un solo control de seguridad de redes.
• Las políticas de contraseñas y gestión de accesos (9.2.1 y 9.3.1) se consolidaron para simplificar su aplicación.
•  A.8.1.1 y A.8.1.2 de 2013 → 5.9 Inventario de información y otros activos asociados (2022)
• A.12.4.2 y A.12.4.3 de 2013 → 8.16 Actividades de seguimiento (2022)
• A.14.2.6 y A.14.2.7 de 2013 → 8.32 Entorno de desarrollo seguro (2022)

Controles Renombrados/Reubicados:

Controles que mantuvieron su esencia pero fueron movidos a otra sección o se les cambió el nombre para mejor claridad y organización en la versión 2022.

• A.6.1.1 (2013) “Roles y responsabilidades” → 5.3 (2022)
•  A.8.2.1 (2013) “Clasificación de información” → 5.12 (2022)
• A.9.2.5 (2013) “Revisión derechos acceso” → 5.18 (2022)
•  A.12.1.1 (2013) “Procedimientos operativos” → 8.1 (2022)
•  A.12.3.1 (2013) “Copias seguridad” → 8.13 (2022)

2. Nuevos Controles Introducidos

Monitoreo de Seguridad: Sistemas para detectar y responder a incidentes en tiempo real.

• Control 5.7 – Inteligencia de amenazas
• Control 7.4 – Supervisión de la seguridad física
• Control 8.16 – Actividades de seguimiento

Gestión de Configuración: Directrices para configurar y mantener sistemas seguros.

• Control 8.9 – Gestión de la configuración
• Control 8.28 – Codificación segura
• Control 5.30 – Preparación de las TIC para continuidad de actividades

Filtrado Web: Protección contra sitios maliciosos.

• Control 8.23 – Filtrado web
• Control 5.23 – Seguridad de la información para servicios en la nube

Prevención de Pérdida de Datos (DLP): Controles para evitar fugas de información.

• Control 8.12 – Prevención de fuga de datos
• Control 8.11 – Enmascaramiento de datos
• Control 8.10 – Eliminación de información

3. Controles actualizados con enfoque moderno

• Teletrabajo: Ampliado para incluir riesgos del trabajo remoto y la nube.
• Seguridad de Proveedores: Mayor enfoque en la gestión de riesgos de la cadena de suministro.
• Resiliencia Cibernética: Planificación y recuperación ante incidentes cibernéticos.

Razones para Actualizarse a ISO 27001:2022

• Cumplimiento Normativo: La certificación basada en la versión 2013 dejará de ser válida en octubre de 2025.
• Adaptación a Nuevas Amenazas: La versión 2022 aborda mejor los desafíos actuales, como el teletrabajo y la gestión de datos en la nube.
• Mayor Eficiencia: Los controles consolidados reducen redundancias y simplifican la implementación.
• Reputación y Confianza: Actualizarse demuestra compromiso con la seguridad, lo que fortalece la confianza de clientes y socios.

Pasos clave para la transición de 2013 a 2022

1. Conoce el Nuevo Estándar: Familiarízate con los 93 controles y compáralos con tus prácticas actuales.
2. Realiza un Gap Analysis: Identifica qué controles necesitas ajustar o implementar.
3. Actualiza tu Documentación: Ajusta tus políticas y procedimientos para alinearlos con los nuevos requisitos.
4. Capacita a tu Equipo: Asegúrate de que todos comprendan los cambios y sepan cómo aplicarlos.
5. Haz una Auditoría Interna: Verifica que los cambios cumplen con la norma antes de someterte a una auditoría externa.

¿Por qué hacer la transición a ISO 27001: 2022 ahora?

El tiempo es limitado. Aunque tienes hasta octubre de 2025, comenzar cuanto antes te permitirá planificar y ejecutar la transición sin contratiempos. Además, mantenerte certificado es vital para tu reputación y operaciones comerciales.

En Hackmetrix, estamos aquí para simplificar tu proceso de transición. Contamos con las herramientas, la experiencia y la consultoría necesaria para que tu empresa cumpla con ISO 27001:2022 de manera eficiente.

Conclusión

Actualizarse a la ISO 27001:2022 no solo asegura el cumplimiento normativo, sino que también fortalece la seguridad y competitividad de tu empresa. Con Hackmetrix podrás hacer una transición sin complicaciones y sin ser un experto. Contáctanos y no dejes esta tarea para último momento.