ISO 27001 2022: Los cambios que debes tener en cuenta

La norma ISO 27001 es un estándar global para la gestión de la seguridad de la información, y su última actualización en 2022 ha traído consigo una serie de cambios significativos que las organizaciones deben considerar.

La versión 2022 de la norma ISO 27001 introduce mejoras y actualizaciones clave que las empresas certificadas deben abordar para adaptar su Sistema de Gestión de Seguridad de la Información (SGSI) y recertificarse sin problemas.

Exploraremos los principales cambios, los beneficios de la actualización, el límite de transición y las consideraciones de los controles.

Tabla de contenido

Cambios principales

Entre los cambios más notables se encuentra la nueva lista y clasificación de los controles de seguridad de la información en el Anexo A, así como modificaciones en las cláusulas obligatorias.

Presenta 11 nuevos controles de seguridad que atienden a las necesidades de protección frente a las tendencias y nuevos enfoques de ciberseguridad, como la inteligencia de amenazas, la seguridad de la información para el uso de servicios en la nube y la preparación de las TIC para la continuidad del negocio.

Se eliminan las Referencias a Objetivos de Control, ya que estos ya no existen ni en el anexo A ni en la norma ISO 27002, lo que simplifica la estructura y el entendimiento de los requisitos.

Beneficios de la ISO 27001:2022

Reducción de controles y conexión con otras normas

Se promueve un marco administrado central que consolida toda la información con procesos únicos y eficaces, ayudando a las organizaciones a evitar la sobrecarga de procesos y a mejorar la eficiencia.

Uso de sistemas basados en la nube

Asimismo, la nueva versión pone énfasis en la seguridad de la información basada en la nube, ofreciendo directrices claras para proteger los datos en este entorno cada vez más utilizado.

Resiliencia de ciberseguridad

Además, un aumento de la capacidad de la organización para resistir y recuperarse de eventos de ciberseguridad, lo que minimiza el impacto de los ataques y mejora la continuidad del negocio.

Fecha de transición de la ISO 27001:2022

El período de transición comenzó el 1 de noviembre de 2022, justo después de la publicación de la norma.

La fecha límite para completar la transición a la norma ISO 27001:2022 es el 31 de octubre de 2025.

De la misma manera, todos los certificados ISO/IEC 27001:2013 expirarán o serán retirados a la misma fecha limite para completar la transición.

A partir del 1 de mayo de 2024, todas las nuevas certificaciones y recertificaciones deben realizarse de acuerdo con la ISO 27001:2022.

Por eso, recomendamos comenzar a planificar y ejecutar las acciones necesarias para la transición lo antes posible, para asegurar una migración suave y sin contratiempos a la nueva versión de la norma.

Consideraciones en los controles de seguridad

Si identificas un control que no es necesario, puedes considerar realizar una evaluación de riesgos, ya que, así puedes determinar si el control es aplicable o no.

En base a lo anterior, si efectivamente no es necesario el control identificado, deberás documentar la justificación de por qué no lo es, usando la declaración de aplicabilidad.

Sin embargo, el hecho de que no sea necesaria en ese momento, no quiere decir que no lo sea después, teniendo en cuenta que las circunstancias cambian constantemente en internet, deberás revisar regularmente los controles excluidos para asegurarte que tu SGSI siga siendo optimo.

Igualmente, se recomienda tener una Política de exclusión en tu SGSI detallando criterios que permitan omitir ciertos controles.

Solicita una consultoría en ciberseguridad

En Hichex podemos asesorarte de distintos trabajos de ciberseguridad para mejorar tu Sistema de Gestión de Seguridad de la Información (SGSI), completa el siguiente formulario y nos pondremos en contacto contigo:

Deja una respuesta