NOTICIAS RECIENTES

Actualización de los controles aplicables en seguridad de la información.

El pasado mes de febrero de 2022 fue publicado por parte del Comité Técnico de Seguridad de la Información, Ciberseguridad y Protección de la Privacidad ISO/IEC JTC 1/SC 27, a través de la Organización de Estándares Internacionales (ISO por sus siglas en inglés) la norma ISO/IEC 27002:2022 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Controles de Seguridad de la Información; estándar que actualiza la publicación del año 2013.

Es importante mencionar que, si bien ISO 27002 no es el estándar certificable, esta norma es complementaria para la implantación de un sistema de gestión de seguridad de la información; debido a que proporciona a las organizaciones un apoyo en la implementación de las mejores prácticas y controles más eficaces para prevenir ataques o la vulneración de la privacidad de la información de los clientes y partes interesadas.

La importancia de la actualización de la norma ISO/IEC 27002:2022, deriva en el hecho que esta norma clarifica el desarrollo y los requisitos de aplicabilidad de los controles que forman parte de la declaración que toda empresa debe contar para demostrar la implementación del sistema de gestión de seguridad de la información, como parte de los requisitos de certificación de ISO 27001 en su anexo A, la cual próximamente incorporará una enmienda para ratificar los cambios de la recién publicada ISO 27002.

Dentro de los principales cambios que ofrece la versión 2022 de la norma ISO 27002, se tienen los siguientes:

• La actualización presenta cuatro secciones y dos anexos: 

• Cláusula 5: Controles organizacionales.
• Cláusula 6: Controles de personas.
• Cláusula 7: Controles físicos.
• Cláusula 8: Controles tecnológicos.
• Los dos anexos se ocupan del uso de atributos y de la correspondencia con los controles de la anterior edición de ISO 27002, que data del año 2013.
• La nueva edición, ISO 27002:2022, reduce el número de controles de 114 a 93.
• La implementación de los controles es ahora justificada en esta actualización con una tabla de atributos asociados con el control y con su función, los cuales pueden ser de tipo preventivo, de detección o correctivos.
• La actualización a ISO 27002:2022 incorpora 11 nuevos controles:

1. Inteligencia de amenazas.
2. Seguridad de la información en la nube.
3. Continuidad del negocio.
4. Seguridad física y su supervisión.
5. Configuración.
6. Eliminación de la información.
7. Encriptación de datos.
8. Prevención de fugas de datos.
9. Seguimiento y monitoreo.
10. Filtrado web.
11. Codificación segura.

En conclusión, aun cuando existen cambios evidentes en el contenido de la versión 2022, de la norma ISO 27002, nos encontramos que en la práctica los controles que hemos conocido se mantienen en esencia, únicamente que para esta versión han sido renombrados o fusionados con otros cuyos objetivos eran similares en aplicabilidad, ahora nos resta esperar la enmienda a la norma certificable ISO 27001, mediante lo cual se asentará la obligatoriedad para su cumplimiento y futura validación a través de la certificación del Sistema de Gestión de Seguridad de la Información.