ISO/IEC 27002:2022 seguridad de la información, ciberseguridad y protección de la privacidad.
El principal objetivo de esta norma es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.
En esta última actualización publicada el 15 de Febrero de 2022 es posible que cada organización pueda desarrollar atributos propios para los controles de seguridad facilitando la integración de ISO 27001 con otros marcos de gobierno y de gestión, así como, la posibilidad de orientar la implantación de los controles a sectores industriales o sectoriales específicos para las actividades propias de cada organización.
La nueva versión trae consigo importantes cambios, siendo los más representativos:
- El cambio de nombre
- Estructura en la norma
- Controles nuevos
Cambio de nombre
El nombre de la norma también cambia
Antes: “Código de Práctica para controles de seguridad de la información”
Ahora: “Controles de Seguridad de la Información”.
Nueva estructura de temas y controles
|
ISO/IEC 27002:2013 |
ISO/IEC FDIS 27002 |
|
| Tecnología de la información – técnicas de seguridad – código de práctica para controles de seguridad de la información | Seguridad de la información, ciberseguridad y protección de la privacidad- controles de seguridad de la información | |
| 114 controles | 93 controles | |
| 14 categorías | 4 categorías y 2 anexos |
| 5 | Políticas de seguridad de la información | (2) | Controles Organizacionales | (37) | |
| 6 | Organización de seguridad de la información | (7) | Controles de Personas | (8) | |
| 7 | Seguridad en recursos humanos | (6) | Controles Físicos
|
(14) | |
| 8 | Gestión de Evaluación | (10) | Controles Tecnológicos | (34) | |
| 9 | Control de Acceso | (14) | |||
| 10 | Criptografía | (2) | |||
| 11 | Seguridad física y ambiental | (15) | |||
| 12 | Seguridad de operaciones | (14) | |||
| 13 | Seguridad en las comunicaciones | (7) | |||
| 14 | Adquisición, desarrollo y mantenimiento de sistema | (13) | |||
| 15 | Relaciones con proveedores | (5) | |||
| 16 | Gestión de incidentes de seguridad de la información | (7) | |||
| 17 | Aspectos de seguridad de la información y continuidad de negocio | (4) | |||
| 18 | Cumplimiento | (8) |
Esta clasificación de funciones se encuentra mucho más orientada al contexto de aplicación del control (organizacional, personas, físicos y tecnológicos).
En esta nueva versión, no existe la definición de objetivos de control, definiendo en total la nueva norma 93 controles.
| ISO/IEC 27002:2022 | |
| Controles organizacionales | 37 controles de gestión de la organización |
| Controles enfocados a personas | 8 controles de la seguridad enfocados a los recursos humanos |
| Controles físicos | 14 controles de seguridad en el entorno físico |
| Controles tecnológicos | 34 controles con soluciones tecnológicas de seguridad |
| Anexo A: | Matriz con los 93 controles y sus atributos |
| Anexo B: | Correspondencia entre los controles de la nueva versión y la versión anterior. |
La eliminación de los objetivos de control también es un aspecto positivo, dado que estos se encuentran intrínsecamente definidos en el control mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy poco valor.
A su vez, a cada control se le han asociado cuatro atributos, que pueden ser utilizados para aplicar diferentes criterios de agrupación o filtrado y generar diferentes “vistas” de los controles.
Estructura de los controles (93)
| Título del control | Nombre del control. |
| Tabla de atributos | Valores de cada uno de los atributos para el presente control. |
| Control | Descripción del control. |
| Propósito | Explicación a detalle del propósito del control. |
| Orientación | Guía para la implementación del control. |
| Otra información | Bibliografía o referencias a otros documentos con relación directa con el control. |
Definición de atributos
Los atributos definidos en detalle son:
Controles nuevos
| ID control | Nombre del control | |
| 5.7 | Inteligencia de amenazas | |
| 5.23 | Seguridad de la información para uso de servicios cloud | |
| 5.30 | Preparación TIC para continuidad del negocio | |
| 7.4 | Monitoreo de seguridad física | |
| 8.9 | Gestión de la configuración | |
| 8.10 | Borrado de la información | |
| 8.11 | Enmascaramiento de datos | |
| 8.12 | Prevención de fuga de datos | |
| 8.16 | Monitoreo de actividades | |
| 8.22 | Filtrado web | |
| 8.28 | Codificación segura | |
Fuente:
https://www.iso.org/standard/54533.html
https://www.iso.org/standard/75652.html
https://www.bsigroup.com/es-ES/Nuestros-servicios/Eventos/webinars/2022/iso-27002/
Cristina Caballero Treviño
Lic. En Informática Administrativa, forma parte del equipo de consultores de HKMX realizando Análisis de Riesgos, implementación de controles y procesos en tecnologías de información, tiene más de 15 años de experiencia en temas de auditoría de tecnologías de información en el sector bancario. Certificación en CRISC, ISO 27001.
