ISO 27002:2022 - Una actualización para la seguridad de la información

Ahora está en discusión - La última revisión de la serie DIN ISO 27000. Y se ve diferente. Pero la nueva estructura resulta familiar, ¿no? A lo largo de este artículo, conocerá las novedades que aporta la norma prepublicada ISO 27002:2022 desde un punto de vista puramente operativo.

Si miramos atrás, la imagen que se obtiene es que las normas ISO suelen recibir una nueva capa de pintura cada cinco o siete años. En el ámbito de la seguridad de la información, por ejemplo, la norma DIN EN ISO/IEC 27001:2013 es actualmente la norma de certificación de referencia. De cara al futuro, las organizaciones deberían disponer de un periodo de transición de dos años desde los anuncios oficiales de la Organización Internacional de Normalización (ISO) hasta que se alineen las bases de certificación.

Siga leyendo para saber qué cambios traerá la nueva revisión, la norma complementaria ISO 27002 y qué impacto tendrá en los requisitos del Anexo A de la norma ISO 27001.

¿Qué es la ISO 27002 en el mundo de las infinitas normas ISO?

Una guía. Esto es exactamente lo que es la norma ISO 27002. En la construcción de las normas ISO, hablamos de normas certificables, sus anexos y las normas de acompañamiento que profundizan en la aplicación de las medidas requeridas y definen los enfoques de las mejores prácticas y los criterios mínimos. Si se procede de acuerdo con ellas y se cumplen estrictamente las especificaciones de la norma ISO 27002, se garantiza el cumplimiento del anexo A de la norma ISO 27001. Es de suponer que esto también se revisará de manera oportuna y congruente con esta revisión.

En general, las normas ISO más conocidas son la ISO 9001 para la gestión de la calidad, la ISO 14001 para la gestión de la energía y, sin duda, la serie de normas ISO 27000 para la gestión de la seguridad de la información.

¿Qué ha cambiado en la nueva versión 2022 de la norma ISO 27002?

Lo primero que llama la atención del lector es que la nueva versión de la norma es efectivamente más larga que su predecesora, y que el orden de los controles también ha cambiado: se han fusionado, actualizado y creado controles. Sin embargo, no se ha eliminado ningún control.

  • Todos los controles están ahora asignados a cuatro grupos diferentes en lugar de los 14 anteriores:
  1. Personas (8 controles)
  2. Organización (37 controles)
  3. Tecnológico (34 controles)
  4. Físico (14 controles)
  • La norma ISO 27002:2022 contiene ahora 93 controles en lugar de los 112 de la versión de 2013.
  • Los siguientes 11 controles se añadieron al marco de forma temática: 
  1. Inteligencia sobre amenazas
  2. Seguridad de la información para el uso de servicios en la nube
  3. Preparación de las TIC para la continuidad de la actividad
  4. Vigilancia de la seguridad física
  5. Gestión de la configuración
  6. Eliminación de información
  7. Enmascaramiento de datos
  8. Prevención de la fuga de datos
  9. Actividades de seguimiento
  10. Filtrado web
  11. Codificación segura 

Posible adaptación de la base de certificación ISO 27001:2013

Cabe suponer que la estructura de la norma ISO 27001, es decir, la estructura según los capítulos 4 a 10 de la norma, se mantendrá en su conjunto, pero que habrá pequeñas adaptaciones.

Una vez que la versión 2022 de la norma ISO 27001 se convierta en la referencia, se debe asumir que

  • Los procesos de gestión de riesgos existentes deben adaptarse a los nuevos controles,
  • que es necesario revisar la "Declaración de Aplicabilidad",
  • que el marco político y la documentación deben ser completados,
  • que las nuevas normas y medidas deben ser comunicadas a toda la organización.

Según la información actual, la nueva versión de la norma ISO 27001 se publicará en octubre de este año. Todavía no se ha publicado una fecha exacta. 

No hay que olvidar que la seguridad del acceso, la gestión de los derechos de los usuarios privilegiados y el trato con los usuarios externos siguen siendo un área de interés de la norma.

Además, el seguimiento específico de las actividades y laprevención de la fuga de datosse incluyen en el catálogo de requisitos.

Aplicar los requisitos de la norma ISO 27002 ad hoc con VISULOX 

Traducido, esto significa que el control de los accesos administrativos y una documentación completa de los accesos de los usuarios privilegiados, así como el control de la información transferida, son cada vez más necesarios. Las nuevas versiones de los enfoques y recomendaciones de mejores prácticas en estas áreas ya no sugieren que los requisitos mínimos correspondientes puedan ser tratados de forma puramente organizativa.

De acuerdo con la nueva clasificación de los controles en categorías apoya VISULOX un gran número de requisitos de la norma ISO 27002:2022 adhoc:

  • 20 de 37 en el ámbito de los controles organizativos, incluyendo
    • Control de acceso
    • Transferencia de información
    • Seguridad de la información en las relaciones con los proveedores
    • Protección de los registros
    • Recogida de pruebas
    • ...
  • 2 de 8 en el área de Control de Personas
    • Trabajo a distancia
    • Notificación de eventos de seguridad de la información
  • 1 de 7 en el ámbito de los controles físicos
    • Mantenimiento de equipos
  • 19 de 34 en el ámbito de los controles técnicos
    • Restricciones de acceso a la información
    • Derechos de acceso privilegiados
    • Eliminación de información
    • Acceso al código fuente
    • Gestión del cambio
    • ...

Por favor, póngase en contacto con nosotros para obtener una lista detallada de todos los controles de la norma ISO 27001:2022 que podemos apoyar con la implementación de nuestra solución PAM VISULOX solución a prueba de auditorías. También estaremos encantados de proporcionarle un mapeo de los controles de la ISO 27001:2013 a la ISO 27001:2022. VISULOX es una solución PAM integral para la gestión, el control y la documentación completa de todas las actividades críticas de los usuarios privilegiados dentro de sus infraestructuras de TI y OT.

VISULOX ha sido desarrollado por amitego en Stuttgart desde 2003 y es utilizado y desarrollado continuamente por clientes de tamaño medio a Fortune 500 en todo el mundo.

Más información.

Tenemos más temas sobre los que nos gusta escribir.

3 buenas razones para decir adiós a la VPN

3 buenas razones para decir adiós a la VPN

Las VPN están más extendidas, pero suponen un alto riesgo. 3 razones por las que la VPN debería ser sustituida por una solución PAM con Remote Support debe ser intercambiado.

Consentimiento para el uso de cookies con un banner de cookies real