ISO 27002 del 2022 Conoce los Principales Cambios de la Nueva Norma
Actualización a la norma ISO 27002
La presente información está pensada para facilitar el acceso en español de los nuevos cambios de la norma ISO 27002 del 2022 , donde se evidencian las principales modificaciones y contrastes con las anteriores versiones de la norma. Podrán encontrarse en detalle y graficado, para un recorrido visual mucho más agradable, todo lo necesario para comprender los importantes cambios producto del avance en prácticas y tecnologías asociadas a la gestión de sistemas de calidad, práctica de negocios, entre otros.
1- ISO 27002 : 2021
El propósito de este artículo es mostrar las principales características de la nueva norma ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS) publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del lector de los pronciales cambios establecidos, considerando algunos elementos propios de contextos para facilitar su comprensión.
| ISO/IEC 27002 Identificador de control | 5.1 | 5.2 | 5.3 |
| Nombre de control | Policies for information security | Information security roles and responsabilities | Segregation of duties |
| Tipo de control | #Preventivo | #Preventivo | #Preventivo |
| Propiedades de seguridad de la información | #Confidencialidad #Integridad #Disponibilidad |
#Confidencialidad #Integridad #Disponibilidad |
#Confidencialidad #Integridad #Disponibilidad |
| Conceptos de ciberseguridad | #Identificar | #Identificar | #Identificar |
| Capacidades operacionales | #Gobernanza | #Gobernanza | #Gobernanza |
| Dominios de seguridad | #Gobernanza y
ecosistema #Resiliencia |
#Gobernanza y
ecosistema #Resiliencia |
#Gobernanza y
ecosistema #Resiliencia |
2- ISO/IEC DIS 27002 Draft International Standar
El propósito de este artículo es mostrar las principales características de la nueva norma ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS) publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del lector de los pronciales cambios establecidos, considerando algunos elementos propios de contextos para facilitar su comprensión.
CICLOS DE VIDA
Una norma se revisa cada cinco años
| 00 | 10 | 20 | 30 | 40 Consulta | 50 | 60 | 90 | 95 |
| Ocho Semanas |
Veinte Semanas |
|||||||
| 40.00 DIS Registrado | ||||||||
| 40.20 DIS Votación: 12 semanas | ||||||||
| 40.60 Cierra la votación |
40.00 es la etapa actual del estándar, tiene una duración de 12 semanas, su comienzo se encuentra establecido el 28 de enero de 2021 y su finalización presupuestada para el 22 de abril 2021. Si el borrador es aprobado, este será el borrador final (FDIS) debiendo pasar a la etapa de consulta (50), con duración de 8 semanas. Al aprobarse pasa a la etapa de revisión (60), la cual dura 20 semanas, siendo el estándar final.
3- Relevancia de la norma ISO 27002
En el contexto de los estándares y buenas prácticas de seguridad de la información y ciberseguridad, las normas establecidas en la serie ISO 27.000 son las de mayor importancia dentro de la materia. Su relevancia recae en que estas son extensibles a diversos contextos dentro de la seguridad de la información, desde el modelo establecido en ISO 27.001 a los controles establecidos en ISO 27.002.
| ISO 27.001 | ISO 27.002 |
|---|---|
| Define los requisitos del sistema de gestión de seguridad de la información | Establece los lineamientos de implementación de los controles de seguridad |
Ejemplos más representativos
La norma ISO 27.017, se puede emplear en la aplicación de controles de seguridad para servicios en la nube.
La norma ISO 27.032, se puede utilizar para controles específicos de ciberseguridad.
La norma ISO 27.035, se puede ocupar para la implementación del proceso de gestión de incidentes.
La norma ISO 27.701, se puede usar e implementación de sistemas de gestión de privacidad de información.
Prácticamente todo modelo o estándar de referencia posee, se basa y/o posee alineamiento con los controles de ISO 27.002. Por ejemplo el Frameworkde Ciberseguridad del NIST:
| NIST | |||
|---|---|---|---|
| Framework de ciberseguridad | |||
| se basa principalmente | |||
| ISO 27.001 | ISO 27.002 | COBIT 2019 | M. Controles CIS |
4- Principales Cambios
| Cambios | Incorporaciones |
| Nombre de la norma | Nuevo términos y definiciones |
| Estructura de temas de seguidad la información | |
| Estructura de atributos de los controles | |
| Controles desde la versión ISO 27.002 : 2013 |
4.1- Cambio de nombre
La primera gran novedad con la norma es que se encuentra establecida en un Comité específico para la materia, ISO/IEC JTC 1/SC 27 denominado “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad”, que estará en el prefijo en desmedro del que actualmente posee, en el contexto de las Tecnologías de Información, específicamente en técnicas de seguridad. Producto de lo anterior el prefijo establecido en la norma cambiará. El nombre de la norma cambia, pasando de “Código de práctica para controles de seguridad de la información” a “Controles de Seguridad de la Información”.
CISO/IEC 27002:2013
Information technology – Security techniques – Code of practice for information security Controls
ISO/IEC DIS 27002
Information security – cybersecurity and privacy protection – Information security controls
4.2- Incorporación de nuevos términos y definiciones
Al igual que otras normas ISO, en la sección número 3 se establecen los términos y definiciones, los cuales como en toda serie de normas ISO de seguridad de la información, ciberseguridad protección de la privacidad, se basan a la misma ISO 27.000 (visión de conjunto y vocabulario), la cual establece el vocabulario para todas sus definiciones complementando aquellas no especificadas en la norma. En total define 37 términos, entre los cuales se incluyen algunos generales y ya definidos en ISO 27.000 tales como:
| Sistema de información | Parte interesada | Registro | No repudio |
| Procedimiento | Fiabilidad | Amenaza | Vulnerabilidad |
| Política | Proceso |
ISO 31.000
| Control de acceso | Ataque | Autenticación | Control |
| Autenticidad |
ISO 27.035
| Instalación de procesamiento de información | Evento de seguridad de la información | ||
| Gestión de incidentes de seguridad de la información | Incidente de seguridad de la información | ||
| Entidad | |||
Incorpora 16 términos, establece un alcance más amplio en ciberseguridad, gestión de evidencia electrónica, gestión de PII y privacidad, gestión de incidentes y gestión de la continuidad del negocio. Los nuevos términos:
| Información sensitiva | Política Específica | Usuario | Regla |
ISO 29.100
| Brecha de seguridad de la información | Información de identificación personal | ||
| Endpoint | Personal | Procesador de PII | PII principal |
ISO 27.031
| Punto objetivo de recuperación (RPO) | Tiempo objetivo de recuperación |
ISO 22.301
| Información confidencial | Disrupción |
ISO 29.134
| Evaluación del impacto de la privacidad |
ISO 27.050
| INC Cadena de custodia |
4.3- Nueva estructura de temas y controles
Un cambio radical con respecto a la versión anterior es la restructuración de los catorce dominios de controles definidos en ISO 27.002:2013 en torno a 4 grandes temas:
Controles Organizacionales (37 controles)
Controles de Personas (8 controles)
Controles Físicos (14 controles)
Controles Tecnológicos (34 controles)
La clasificación de funciones es más simple que la provista en la versión 2013 de la norma, la cual se encuentra mucho más orientada al contexto de aplicación del control (organizacional, personas, físicos y tecnológicos). La versión 2013, en cada dominio establecía una serie de objetivos de control (34) y controles de seguridad de la información (114), en esta nueva versión, no existe la definición de objetivos de control, contando en total la nueva norma con 93 controles. Sin embargo, incluye un atributo que permite la clasificación especifica del control, en la cual será ubicado en una o más de las 15 categorías establecidas. (Apartado 3.4 del artículo)
Es un cambio positivo, ya que el establecimiento de controles de acuerdo a su contexto de aplicación deja más en evidencia las responsabilidades del personal del negocio para la gestión de la seguridad de la información, ciberseguridad y protección de la privacidad, las que se establecen en torno a 37 controles organizativos, igual que la definición de controles de carácter técnico relacionados a las tecnologías, establecidos en los 34 controles respectivos del tema. La eliminación de los objetivos de control también es un aspecto positivo, ya que estos se encuentran intrínsecamente definidos en el control mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy poco valor.
4.4- Nueva estructura de atributos de los controles
La norma proporciona para cada control cinco atributos, estos establecen subclasificaciones que permiten caracterizar al control. Ejemplo: Primer control del tema controles organizacionales.
| ISO/IEC Identfficador | Nombre de control | Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
| 5.1 | Policies for information security | #Preventivo | #Confidencialidad
#Integridad #Disponibilidad |
#Identificar | #Gobernanza | #Gobernanza_y_ecosistema |
Tipo de control : Este atributo posibilita identificar cuando o como el control impacta en la gestión de riesgos con respecto a la ocurrencia de un incidente de seguridad de la información.Sus posibles valores son:
| #Preventivo | #Detectivo | #Correctivo | |
| El control actúa antes de que la amenaza actué. | El control actúa cuando la amenaza ocurre. | El control actúa después que la amenaza ocurre. |
El tipo de control aportará mucho a fortalecer el control interno organizacional, por ejemplo, para identificar controles de diversa naturaleza para la gestión de riesgos de alta criticidad.
Propiedades de Seguridad de la Información: Este atributo proporciona información sobre cómo el control contribuye en la preservación de la triada de la seguridad de la información. Sus posibles valores son:
| #Confidencialidad | #Integridad | #Disponibilidad |
La comprensión de este ayudará a la gestión atributos de similares características, tener una visión agregada del atributo posibilita una gestión más efectiva de los controles, así como identificar las potenciales brechas.
Conceptos de Ciberseguridad : Puede ser empleado cuando la organización busca la implementación de un Sistema de Gestión de Seguridad de la Información o un Framework de Ciberseguridad como el del NIST, el cual se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27.101. Los posibles valores que toma el atributo son:
| #Identificar | #Proteger | #Detectar | #Responder |
| #Recuperar |
Los Conceptos de Ciberseguridad, son un importante aporte para la implementación de un SGSI o NIST CSF, ya que permite facilitar su alineamiento en torno a las principales funciones del modelo.
Dominios de seguridad : Puede ser usado en caso que la organización quiera clasificar sus controles desde una perspectiva del campo de aplicación de la seguridad de la información y ciberseguridad,
| #GobernanzaEcosistema | #Protección | #Defensa | #Resiliencia |
El atributo de Dominios de Seguridad, aporta una interesante perspectiva para definir funciones específicas y de alto nivel en la gestión de la ciberseguridad, siendo en un contexto de uso general quizás el que menos aporta, puesto que es aplicable principalmente a grandes organizaciones, no obstante, para aquellas que tengan definidas estas funciones el atributo aportará de una manera significativa en la clasificación. (Incorporando controles preventivos, detectivos y correctivos).
Capacidades operacionales : Este atributo puede ser usado cuando la organización requiere una clasificación de controles desde una perspectiva práctica, como por ejemplo, cuando se requiere
| #Gobernanza | #Gestión de activos | #Protección de la información | |
| #Seguridad en los recursos humanos | #Seguridad física | #Continuidad | |
| #Seguridad en sistemas y redes | #Seguridad en relaciones con proveedores | ||
| #Gestión de accesos e identidades | #Gestión de amenazas y vulnerabilidades | ||
| #Gestión de eventos de seguridad de la información | #Seguridad aplicaciones | #Legal y cumplimiento | |
| #Aseguramiento de la seguridad | #Seguridad en la configuración | ||
Las Capacidades Organizacionales, es una nueva forma de reordenar los controles de manera muy similar a lo establecido en la ISO 27.002:2013, es una forma relevante de clasificar los controles para
Definición de atributos es un aporte en la nueva normativa, su contexto de uso es basatante amplio, así posibilitando el desarrollo de diversos mecanismos de gestión de controles que fortalecerán el control interno, plan de tratamiento riesgos, evaluación de controles, asignación responsabilidades, la auditoría, entre otros. La definición de los controles no sufre mayores cambios con respecto a la versión 2013 : Control, Propósito, Directrices y Otra Información.
4.5- Cambios en controles desde la ISO 27002 : 2013
Más allá de los cambios de dominio o temas y la definición de los atributos para cada control, el desarrollo de la nueva norma contempla la reducción de controles pasando de los 114 preexistentes en la versión 2013 a 93 controles en la nueva versión. En total se definen 11 nuevos controles:
| Nuevos controles | |
| 5.7 Inteligencia de amenazas | 8.11 Enmascaramiento de datos |
| 5.23 Seguridad de información para uso de servicios en la nube | 8.12 Prevención de la fuga de datos |
| 5.30 Preparación de las TIC para continuidad del negocio | 8.16 Monitoreo de actividades |
| 7.4 Monitoreo de la seguridad física | 7.4 Monitoreo de la seguridad física |
| 8.9 Gestión de la configuración | 8.22 Filtrado web |
| 8.10 Eliminación de la información | 8.28 Codificación segura |
Controles que se fusionan con otros controles desde la ISO 27002 : 2013
Diversos controles fueron reordenados y reorganizados en otros controles, generando así nuevos controles provenientes desde la ISO 27.002:2013.Cómo por ejemplo, los controles 5.1.1 y 5.1.2 que se fusionan en el control 5.1 de políticas de seguridad de la información.
| 5.1.1 Políticas para la seguridad de la información 5.1.2 Revisión de políticas para la seguridad de la información |
5.1 Políticas para la seguridad de la información |
| 6.2.1 Política de dispositivos móviles 11.2.8 Equipo de usuario desatendido |
8.1 Dispositivos de punto final del usuario |
| 8.1.1 Inventario de activos 8.1.2 Propiedad de activos |
5.9 Inventario de información y otros activos asociados |
| 8.1.3 Uso aceptable de los activos 8.2.3 Manipulado de la información |
5.10 Uso aceptable de la información y activos asociados |
| 8.3.1 Gestión de soportes extraíbles 8.3.2 Eliminación de soportes 8.3.3 Soportes físicos en tránsito |
7.10 Medios de almacenamiento |
| 9.1.1 Política de control de acceso 9.1.2 Acceso a las redes y a los servicios de red |
5.15 Control de accesos |
| 9.2.4 Gestión de la información secreta autenticación de usuarios 9.3.1 Uso de la información secreta de autenticación 9.4.3 Uso Restricción del acceso a la información |
5.17 Autenticación de infromación |
| 9.2.2 Provisión de acceso de usuario 9.2.5 Revisión de los derechos de acceso de usuario 8.2.6 Retirada o reasignación de los dechos de acceso |
5.18 Derechos de acceso |
| 10.1.1 Política de uso de los controles criptográficos 10.1.2 Uso Gestión de claves |
8.24 Uso de criptografía |
| 11.1.2 Controles físicos de entrada 11.1.6 Áreas de carga y descarga |
7.2 Controles de entrada física |
| 12.1.4 Separación de los recursos de desarrollo, prueba
y operación 14.2.6 Entorno de desarrollo seguro |
8.31 Separación de ambientes de desarrollo, prueba y producción |
| 12.4.1 Registro de eventos 12.4.2 Protección de la información del registro 12.4.3 Registros de administración y operación |
8.15 Inicio de sesión |
| 12.5.1 Instalación del software en explotación 14.6.2 Restricción en la instalación de software |
8.19 Instalación de software en sistemas operativos |
| 12.6.1 Gestión de las vulnerabilidades técnicas 18.2.3 Comprobación del cumplimiento técnico |
8.8 Gestión de vulnerabilidades técnicas |
| 12.1.2 Gestión de cambios 12.2.2 Procedimiento de control de cambios en sistemas 12.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema 14.2.4 Restricciones a cambios en paquetes de software |
8.32 Gestión del cambio |
| 13.2.1 Política y procedimiento intercambio información 13.2.2 Acuerdos de intercambio de información 13.2.3 Mensajería electrónica |
8.26 Transferencia de información |
| 14.1.2 Asegurar servicios de aplicaciones en red pública 14.1.3 Protección de las transacciones de servicios de aplicaciones |
8.29 Pruebas de seguridad en desarrollo y aceptación |
| 15.2.1 Control y revisión de la provisión de servicios del
proveedor 15.2.2 Gestión de cambios en la provisión del servicio del proveedor |
5.22 Monitoreo, revisión y gestión del cambio con proveedores de servicios. |
| 16.2.1 Notificación eventos de seguridad de la información 16.1.3 Notificación de puntos débiles de la seguridad |
6.8 Reporte de eventos de seguridad de la información |
| 17.1.1 Planificación de la continuidad de la seguridad de la información 17.1.2 Implementar la continuidad de la seguridad de la información 17.1.3 Verificación, revisión y evaluación de continuidad de seguridad de la información |
5.29 Disrupción durante la seguridad de información |
| 18.1.5 Regulación de los controles criptográficos 18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales |
5.31 Identificación de requerimientos legales, estatutarios, regulatorios y contractuales. |
| 18.2.3 Comprobación del cumplimiento técnico 18.2.2 Cumplimiento de políticas y normas de seguridad |
5.36 Cumplimiento con políticas y estándares para la seguridad de la información |
Controles que se eliminan desde la ISO 27002 : 2013
11.2.5 Retirada de materiales propiedad de la empresa
5- Conclusiones y Referencias
Para todos quienes trabajan en el contexto de la seguridad de la información y ciberseguridad el comprender las caracteristicas de la norma ISO 27.002 y su enfoque de controles permitirá conocer directrices importantes sobre cómo implementar los controles más relevantes en la materia, por tanto, comprender los cambios que se están definiendo sin duda que debe ser considerada como un elemento de competencia para aquellos que aprecien su debida diligencia y cuidado profesional.
Las nuevas estructuras de la norma son un importante paso para la simplificación y facilidad de uso de esta, teniendo importantes cambios, no solo en lo estructural, sino que incluso a nivel de lenguaje acercándose a temas más atingentes a la ciberseguridad actual. La fusión y definición de controles es uno de los aspectos más relevantes, la incorporación de 11 nuevos controles y reordenamiento de más de 54 controles para definir 23 controles nuevos nos permite contar con una norma con definiciones más actualizadas, alineada al contexto de la ciberseguridad, protección de la privacidad y gestión de incidencias, con mayor simplicidad en controles de gestión de activos, control de acceso identidades, seguridad física, seguridad en las operaciones y seguridad en el software, lo cual hace a la norma mucho más comprensible y aplicable.
Enlaces de referencia
Etapas y recursos para el desarrollo de estándares ISO
https://www.iso.org/stages-and-resources-for-standards-development.html
Estado actual de la ISO 27.002
https://www.iso.org/standard/75652.html
¡obten gratis la documentación de este artículo!
Descarga el archivo PDF desde nuestra Biblioteca de Recursos, donde encontrarás toda la documentación actualizada y mucho más contenido de interés para ti
Ir al Archivo
¿tienes interés en aprender a implementar iso? revisa nuestros cursos, respaldados por la universidad de santiago de chile.
Por Carlos Lobos de Medina
Ingeniero civil en informática y magister en Informática (C) de la Universidad de Santiago de Chile, diplomado en auditoria de sistemas. Postítulo en seguridad computacional Universidad de Chile. Cuenta con certificaciones internacionales CISA, CISM, COBIT, ITIL, NIST, como certificaciones en la implementación y auditoría de las normas ISO 27001, ISO 27.017, ISO 27.701, ISO 22.301 e ISO 37007.
Director del programa de ciberseguridad de Capacitación USACH. Director de los PFC de formación de competencia CORFO y CEO & Co-Fonder de Alignment SpA.
Ver perfilLa presente información está pensada para facilitar el acceso en español de los nuevos cambios de la norma ISO 27002 del 2022 , donde se evidencian las principales modificaciones y contrastes con las anteriores versiones de la norma.