La norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información proporciona a las empresas un marco para gestionar los riesgos y protegerse de las amenazas con el fin de mantener seguros los activos de información, desde la información financiera y la propiedad intelectual hasta los datos de los empleados, entre otros.
Hoy en día, la seguridad de la información ocupa un lugar destacado en la agenda de casi todas las empresas. Con los nuevos escenarios, la urgencia está cambiando. Entre el aumento de la adopción de la nube y las tecnologías de automatización, la ciberseguridad, la privacidad, el malware y el ransomware por sí solos, las empresas se ven obligadas a reevaluar su contexto, los principales riesgos y amenazas, y las partes interesadas pertinentes de una manera estructurada y de confianza.
Con la última versión publicada en 2013, era necesaria una nueva versión para ayudar a las empresas a navegar por nuevos escenarios y asegurarse de que se aplican los controles de seguridad actuales.
La norma ISO/IEC 27001:2022 revisada
La nueva versión ISO/IEC 27001:2022 aborda los nuevos escenarios que deben afrontar las empresas. Los cambios se producen principalmente en el anexo A, anticipado por la publicación de ISO/IEC 27002, donde se han añadido, suprimido o fusionado controles de seguridad. Los cambios se amplían para incluir aspectos de ciberseguridad y privacidad, y se actualiza el lenguaje de los controles y se añaden orientaciones adicionales. Esto ayuda a las empresas a gestionar los riesgos, asegurarse de que no se pasa nada por alto y hacer el debido seguimiento.
La última versión se publicó en 2013. No es sorprendente que los cambios en los controles de seguridad sean bastante significativos: 11 nuevos, 58 actualizados y 24 fusionados. Los escenarios de cambio que se abordan en particular son:I
- Introducción de tecnologías digitales como la nube y la automatización;
- Adopción reciente y creciente de dichas tecnologías;
- Reconocimiento de los riesgos para la ciberseguridad y la privacidad;
- Reflejar el cambiante panorama de amenazas, por ejemplo, nuevos tipos de malware y ransomware;
- Alineación con otras mejores prácticas, como NIST, COBIT, etc.
- Actualizar el lenguaje de control y añadir orientaciones adicionales.
Las principales áreas afectadas por los cambios son:
- liderazgo;
- seguridad corporativa;
- función con TI;
- otras funciones de apoyo;
- prestación (para proveedores de servicios).
Para cumplir la normativa, las organizaciones deben reevaluar sus evaluaciones de riesgos y restablecer sus controles de seguridad.
Además de los cambios en los controles, la edición 2022 también se ha adaptado a las últimas actualizaciones de la Estructura de Alto Nivel (HLS) de ISO. Estos cambios se basan en la última versión del Anexo SL de las Directivas ISO/IEC Parte 1 (2022). No obstante, estos cambios se consideran menores, ya que la edición de 2013 fue una de las primeras normas en adoptar la HLS.
Calendario de transición
La nueva versión de la norma ISO/IEC 27001 se publicó el 25 de octubre de 2022. El plazo de transición es de 3 años. Por lo tanto, los certificados actuales de 2013 deben pasar a la nueva versión antes de noviembre de 2025.
La auditoría de transición puede llevarse a cabo durante cualquier auditoría programada durante el período de transición de 3 años, pero también puede realizarse como auditoría de transición especial.
Preparse para la implementación
Le recomendamos que empiece a prepararse para la transición lo antes posible y planifique adecuadamente la incorporación de los cambios necesarios a su sistema de gestión.
Pasos recomendados para la transición:
- Conocer el contenido y los requisitos de la nueva norma. Céntrese en los cambios que implica la norma revisada.
- Asegúrese de que el personal pertinente de su organización esté formado y comprenda los requisitos y cambios clave.
- Identifique las lagunas que deben abordarse para cumplir los nuevos requisitos y establezca un plan de implantación.
- Implemente medidas y actualice su sistema de gestión para cumplir los nuevos requisitos.
Cómo podemos ayudarle
Ya sea que usted esté actualmente certificado en ISO/IEC 27001 o sea nuevo en la norma, DNV puede apoyar su certificación y transición del sistema de gestión de seguridad de la información. Como organismo de certificación líder mundial, estamos trabajando con pequeñas y grandes empresas para sus necesidades de seguridad y privacidad de la información en todo el mundo.
Si se está preparando para la transición de la versión 2013 a la versión 2022, podemos ayudarle con:
- Formación en la que aprenderá sobre la revisión y obtendrá una visión general básica de los cambios clave y el proceso de transición.
- Herramientas de autoevaluación en línea y evaluaciones de deficiencias in situ y externas para medir en qué medida su sistema de gestión cumple los nuevos requisitos.
- Auditoría de transición para adaptar su certificación a la nueva versión de la norma.
Podemos ayudarle en cada paso del camino.
¿Está pensando en obtener la certificación ISO/IEC 27001 por primera vez? Visite nuestra página de servicios del sistema de gestión de la seguridad de la información para obtener más información sobre sus características, ventajas y camino hacia la certificación.