En un artículo anterior abordamos los cambios en la nueva versión de ISO/IEC 27001 (ISO/IEC 27001:2022) con relación a los controles de seguridad considerados en el Anexo A, ya que representaron los cambios más significativos para la edición 2022. En esta oportunidad revisaremos los cambios en las cláusulas del estándar.
Recordemos que las cláusulas definen los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Además, incluye los requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información, identificados para cada organización.
Lecturas recomendadas:
8 pasos para la evaluación de riesgos de ciberseguridad (parte I)
8 pasos para la evaluación de riesgos de ciberseguridad (parte II)
Si bien estos cambios no son radicales, existen algunas modificaciones que vale la pena conocer, especialmente cuando las organizaciones pretenden obtener la certificación. Por estas razones, se convierten en normativos, por lo que la exclusión de cualquiera de los requisitos especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización declara conformidad con ISO 27001.
Cambios en las cláusulas de ISO/IEC 27001:2022
Las primeras tres cláusulas únicamente presentan modificaciones de redacción, sin afectar el sentido de los requisitos. La primera cláusula (Alcance) de ISO/IEC 27001 está referida al ámbito de aplicación del estándar, relacionado con los requisitos genéricos y aplicables a cualquier tipo de organización a la hora de operar un SGSI dentro de su contexto.
La segunda cláusula (Referencias normativas) considera los documentos a los cuales hace mención ISO/IEC 27001, ya sea de forma total o parcial. Se le denomina normativo porque son indispensables para la aplicación del estándar. Es importante mencionar que para referencias fechadas sólo aplica la edición citada, mientras que, para referencias no fechadas aplica la última edición del documento referenciado. ISO/IEC 27000 sigue siendo la única referencia normativa en la nueva versión del estándar.
En la versión 2022, nuevamente todos los términos han sido eliminados y en su lugar se recomienda utilizar como referencia el estándar ISO/IEC 27000 en su última edición (2018). Además, la tercera cláusula (Términos y definiciones) también incluye la liga para consultar dicho el estándar y así utilizar un lenguaje estandarizado.
La cuarta cláusula (Contexto de la organización) establece que la organización debe determinar los problemas tanto externos como internos, que sean relevantes para su propósito y que puedan afectar la capacidad para lograr los resultados esperados del SGSI.
En la nueva edición se identifica un cambio en la cláusula 4.2 (Necesidades y expectativas de las partes interesadas). De acuerdo con el estándar, la organización debe definir las partes interesadas que son relevantes para el sistema de gestión y sus requisitos para la seguridad de la información; la nueva edición agrega un inciso para determinar cuáles de estos requisitos se abordará a través del SGSI.
En un sentido amplio, una parte interesada es toda entidad que se vea beneficiada de la efectiva seguridad de la información plasmada a través del SGSI y, en sentido opuesto, toda entidad que pueda verse afectada si se presenta algún incidente de seguridad de la información; por ello, la lista de involucrados e interesados puede ser tan extensa como la organización lo requiera.
Otro cambio mínimo se encuentra en la redacción de la cláusula 4.4 (Sistema de Gestión de Seguridad de la Información), ya que además de considerar las fases para establecer, implementar, mantener y mejorar continuamente un SGSI de acuerdo con los requisitos del estándar, se agregan como parte de la redacción “los procesos necesarios y sus interacciones”.
La quinta cláusula (Liderazgo) establece los requisitos para la alta dirección, las características de la política de seguridad de la información, así como la definición de funciones, responsabilidades y autoridades dentro de la organización, relacionadas con la seguridad de la información.
Esta cláusula no sufre cambios, ya que únicamente se agrega una nota en la cláusula 5.1 (Liderazgo y compromiso) donde se indica que la referencia a “negocios” en el estándar puede interpretarse en un sentido amplio para describir las actividades fundamentales para la organización.
Además, la cláusula 5.3 (Funciones, responsabilidades y autoridades organizacionales) hace hincapié en que la alta dirección debe asegurarse de que las responsabilidades y autoridades de los roles relevantes para la seguridad de la información se asignan y comunican “dentro de la organización”.
La sexta cláusula (Planeación) muestra los requisitos del estándar relacionados con la evaluación de riesgos de seguridad de la información; también considera los requisitos para el tratamiento de estos luego de que han sido identificados, analizados y evaluados en función de los criterios de aceptación. Por último, incluye los objetivos de seguridad de la información que se pretenden lograr a través del sistema de gestión.
Los cambios son minúsculos para esta cláusula. En el caso del requisito 6.1 (Acciones para dirigir riegos y oportunidades) no se presentan cambios. La cláusula 6.2 (Objetivos de seguridad de la información y planificación para alcanzarlos) solo agrega que los objetivos deben ser monitoreados y estar disponibles como información documentada (lo que no se expresaba explícitamente en la edición anterior). Además, se agrega el requisito 6.3 (Planificación de cambios), que establece la ejecución planificada de cambios cuando la organización identifique la necesidad de modificaciones en el SGSI.
En este sentido, las metodologías de evaluación de riesgos utilizadas en procesos de operación del SGSI previos a la publicación de esta nueva edición del estándar, mantienen su vigencia.
La séptima cláusula (Soporte) define los elementos que respaldan la ejecución de las actividades planeadas. Entre estos factores se enlistan los recursos, competencias, concientización y comunicación, así como los requisitos de documentación para el sistema de gestión. El único cambio en esta sección es la eliminación del punto para incluir los procesos mediante los cuales se efectuará la comunicación relevante del SGSI en el requisito 7.4 (Comunicación).
La octava cláusula (Operación) solo presenta cambios de redacción y presentación en el requisito 8.1 (Planeación y control operacional) para modificar la referencia a los requisitos de la cláusula 6 y hacer énfasis en la necesidad de establecer criterios para los procesos e implementar el control de los procesos de acuerdo con los criterios descrito en dicha cláusula. Además, se considera que la información documentada deberá estar disponible en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.
La novena cláusula (Evaluación del desempeño) considera las actividades para monitorear, medir, analizar y evaluar el sistema de gestión. También, considera los requisitos relacionados con las auditorías internas y la revisión por parte la dirección sobre el estado del sistema. El requisito 9.1 (Monitorear, medir, analizar y evaluar) únicamente presenta cambios de redacción, mientras que el requisito 9.2 (auditoría interna) presenta un cambio en su estructura para enfatizar las etapas en la ejecución del proceso de auditoría, del mismo modo que el requisito 9.3 (Revisión de gestión) que se presenta de un modo más estructurado.
Finalmente, la décima cláusula (Mejora) abarca los elementos necesarios para las acciones orientadas a corregir desviaciones con relación a lo que establece el estándar o para actividades de mejora relacionada con los controles de seguridad implementados. Los cambios en esta sección son solo de orden de presentación, apareciendo en primer lugar el requisito 10.1 (Mejora continua) y posteriormente el 10.2 (No conformidades y acción correctiva), sin alterar el contenido de estos.
Tal vez te interese:
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Cursos online sobre análisis y gestión de riesgos en ciberseguridad