La tecnología avanza y de forma inherente va dando lugar a nuevos riesgos determinados por las amenazas y las vulnerabilidades. Continuamente se desarrollan nuevas amenazas informáticas con características cada vez más ofensivas, al tiempo que cada vez se identifican más vulnerabilidades. A su vez, esto determina las tendencias, condiciones y necesidades en el ámbito de la seguridad de la información.
Teniendo esto en cuenta, factores externos como los nuevos modelos de negocio, la pandemia o los conflictos geopolíticos, también han tenido incidencia directa, por lo que es necesario renovar los controles de seguridad. En este contexto, los estándares de seguridad se revisan y actualizan periódicamente. Recientemente se presentó la nueva versión de ISO 27001 (ISO/IEC 27001:2022), una de las principales referencias en materia de ciberseguridad a nivel internacional.
Quizás te interese también: ISO 27001:2022: cambios en las cláusulas que introdujo la nueva versión del estándar de seguridad
¿Qué cambios presenta la versión 2022 de la ISO 27001?
Hacia finales de 2022 se publicó la ISO/IEC 27001:2022. Esta nueva versión de la ISO presenta cambios importantes en la cantidad y la forma de clasificar los controles de seguridad, además de modificaciones poco significativas en las cláusulas que definen los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Los detalles de la implementación de cada uno de los controles considerados en ISO/IEC 27001 se pueden encontrar en la versión más reciente de ISO/IEC 27002, documento conocido en versiones anteriores como “código de prácticas”, que continúa siendo una guía de implementación. Este último documento también fue actualizado durante 2022, cambiando de título a “Information security, cybersecurity and privacy protection — Information security controls”, junto con su estructura para utilizar una taxonomía simple. Además, algunos controles se fusionaron, algunos se eliminaron y otros nuevos se han agregado.
Vale la pena recordar que mientras que la ISO 27001 establece los objetivos que debe cumplir una organización para obtener la certificación, la ISO 27002 establece los controles que son necesarios para cumplir con los objetivos.
A partir de los cambios en ISO/IEC 27002:2022, a continuación, repasamos los cambios en el Anexo A de ISO/IEC 27001:2022.
Se destaca que estas nuevas versiones de los documentos consideran dos nuevos aspectos: temas y atributos. Los temas hacen referencia a la forma de categorizar los controles de seguridad, que podría equipararse a los dominios utilizados en las ediciones pasadas. De esta manera, es posible encontrar cuatro temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos hacen referencia a otra forma de clasificación basados en otras perspectivas o enfoques, de tal manera que los atributos puedan ser utilizados para filtrar, ordenar o presentar los diferentes controles para distintos tipos de audiencias.
Existen cinco tipos de atributos: basado en el tipo de control (preventivo, detectivo o correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (capacidades de seguridad desde la perspectiva de los profesionales o practicantes, como la gobernanza o seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).
Además, el nuevo estándar reduce a 93 el número de controles de seguridad. De este modo, es posible identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Destaca también que los objetivos de control, identificados como los enunciados que describen lo que se desea alcanzar como resultado de la implementación de controles, ya no son considerados en la nueva edición.
La reducción en la cantidad de controles se debe a la reorganización y fusión de algunos de los mismos. En la ISO 27001:2022 se presentan 11 nuevos controles de seguridad que atienden las necesidades de protección para las tendencias y nuevos enfoques de ciberseguridad: inteligencia de amenazas, seguridad de la información para el uso de servicios en la nube, preparación de las TIC para la continuidad del negocio, monitoreo de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, actividades de monitoreo, filtrado Web y codificación segura.
Consideraciones en la selección e implementación de controles
Recordemos que los controles son definidos como medidas que tienen como propósito mantener y/o modificar los riesgos asociados a la información y otros activos. Sin embargo, es probable que los controles no siempre ejerzan el efecto de modificación deseado, por lo que deben ser revisados y actualizados constantemente para cumplir con las expectativas de protección basadas en los criterios de riesgo (aversión o propensión).
Además, las organizaciones no están sujetas ni obligadas a la implementación de todos los controles definidos en el estándar, pero la omisión de alguno de ellos debe ser documentada y justificada en la Declaración de Aplicabilidad (SoA); generalmente, la selección de los controles está determinada principalmente por los resultados de la evaluación de riesgos.
Lecturas recomendadas:
8 pasos para la evaluación de riesgos de ciberseguridad de una empresa (parte I)
8 pasos para la evaluación de riesgos de ciberseguridad de una empresa (parte II)]
Cursos online sobre análisis y gestión de riesgos en ciberseguridad
Finalmente, es importante recordar que las organizaciones pueden seleccionar e implementar controles o contramedidas para proteger sus activos basadas en otras fuentes de información y otros marcos de trabajo de ciberseguridad o seguridad de la información, y que las buenas prácticas recomendadas en el estándar deben ser adoptadas, adaptadas y aplicadas con base en las características, necesidades y condiciones de cada organización.