ISO 27002 2022 Imagen Destacada

ISO 27002 del 2022 Conoce los Principales Cambios de la Nueva Norma

Actualización a la norma ISO 27002

La presente información está pensada para facilitar el acceso en español de los nuevos cambios de la norma ISO 27002 del 2022 , donde se evidencian las principales modificaciones y contrastes con las anteriores versiones de la norma. Podrán encontrarse en detalle y graficado, para un recorrido visual mucho más agradable, todo lo necesario para comprender los importantes cambios producto del avance en prácticas y tecnologías asociadas a la gestión de sistemas de calidad, práctica de negocios, entre otros.

1- ISO 27002 : 2021

 

El propósito de este artículo es mostrar las principales características de la nueva norma ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS) publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del lector de los pronciales cambios establecidos, considerando algunos elementos propios de contextos para facilitar su comprensión.

ISO/IEC 27002 Identificador de control 5.1 5.2 5.3
Nombre de control Policies for information security Information security roles and responsabilities Segregation of duties
Tipo de control #Preventivo #Preventivo #Preventivo
Propiedades de seguridad de la información #Confidencialidad
#Integridad
#Disponibilidad
#Confidencialidad
#Integridad
#Disponibilidad
#Confidencialidad
#Integridad
#Disponibilidad
Conceptos de ciberseguridad #Identificar #Identificar #Identificar
Capacidades operacionales #Gobernanza #Gobernanza #Gobernanza
Dominios de seguridad #Gobernanza y ecosistema
#Resiliencia
#Gobernanza y ecosistema
#Resiliencia
#Gobernanza y ecosistema
#Resiliencia

 

2- ISO/IEC DIS 27002 Draft International Standar

 

El propósito de este artículo es mostrar las principales características de la nueva norma ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS) publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del lector de los pronciales cambios establecidos, considerando algunos elementos propios de contextos para facilitar su comprensión.

CICLOS DE VIDA

Una norma se revisa cada cinco años

00 10 20 30 40 Consulta 50 60 90 95
Ocho
Semanas
Veinte
Semanas
40.00 DIS Registrado
40.20 DIS Votación: 12 semanas
40.60 Cierra la votación

40.00 es la etapa actual del estándar, tiene una duración de 12 semanas, su comienzo se encuentra establecido el 28 de enero de 2021 y su finalización presupuestada para el 22 de abril 2021. Si el borrador es aprobado, este será el borrador final (FDIS) debiendo pasar a la etapa de consulta (50), con duración de 8 semanas. Al aprobarse pasa a la etapa de revisión (60), la cual dura 20 semanas, siendo el estándar final.

 

3- Relevancia de la norma ISO 27002

 

En el contexto de los estándares y buenas prácticas de seguridad de la información y ciberseguridad, las normas establecidas en la serie ISO 27.000 son las de mayor importancia dentro de la materia. Su relevancia recae en que estas son extensibles a diversos contextos dentro de la seguridad de la información, desde el modelo establecido en ISO 27.001 a los controles establecidos en ISO 27.002.

ISO 27.001 ISO 27.002
Define los requisitos del sistema de gestión de seguridad de la información Establece los lineamientos de implementación de los controles de seguridad

Ejemplos más representativos

La norma ISO 27.017, se puede emplear en la aplicación de controles de seguridad para servicios en la nube.
La norma ISO 27.032, se puede utilizar para controles específicos de ciberseguridad.
La norma ISO 27.035, se puede ocupar para la implementación del proceso de gestión de incidentes.
La norma ISO 27.701, se puede usar e implementación de sistemas de gestión de privacidad de información.

Prácticamente todo modelo o estándar de referencia posee, se basa y/o posee alineamiento con los controles de ISO 27.002. Por ejemplo el Frameworkde Ciberseguridad del NIST:

NIST
Framework de ciberseguridad
se basa principalmente
ISO 27.001 ISO 27.002 COBIT 2019 M. Controles CIS

 

4- Principales Cambios

 
Cambios Incorporaciones
Nombre de la norma Nuevo términos y definiciones
Estructura de temas de seguidad la información
Estructura de atributos de los controles
Controles desde la versión ISO 27.002 : 2013

 

4.1- Cambio de nombre

 

La primera gran novedad con la norma es que se encuentra establecida en un Comité específico para la materia, ISO/IEC JTC 1/SC 27 denominado “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad”, que estará en el prefijo en desmedro del que actualmente posee, en el contexto de las Tecnologías de Información, específicamente en técnicas de seguridad. Producto de lo anterior el prefijo establecido en la norma cambiará. El nombre de la norma cambia, pasando de “Código de práctica para controles de seguridad de la información” a “Controles de Seguridad de la Información”.

CISO/IEC 27002:2013
Information technology – Security techniques – Code of practice for information security Controls

ISO/IEC DIS 27002
Information security – cybersecurity and privacy protection – Information security controls

 

4.2- Incorporación de nuevos términos y definiciones

 

Al igual que otras normas ISO, en la sección número 3 se establecen los términos y definiciones, los cuales como en toda serie de normas ISO de seguridad de la información, ciberseguridad protección de la privacidad, se basan a la misma ISO 27.000 (visión de conjunto y vocabulario), la cual establece el vocabulario para todas sus definiciones complementando aquellas no especificadas en la norma. En total define 37 términos, entre los cuales se incluyen algunos generales y ya definidos en ISO 27.000 tales como:

Sistema de información Parte interesada Registro No repudio
Procedimiento Fiabilidad Amenaza Vulnerabilidad
Política Proceso

ISO 31.000

Control de acceso Ataque Autenticación Control
Autenticidad

ISO 27.035

Instalación de procesamiento de información Evento de seguridad de la información
Gestión de incidentes de seguridad de la información Incidente de seguridad de la información
Entidad

Incorpora 16 términos, establece un alcance más amplio en ciberseguridad, gestión de evidencia electrónica, gestión de PII y privacidad, gestión de incidentes y gestión de la continuidad del negocio. Los nuevos términos:

Información sensitiva Política Específica Usuario Regla

ISO 29.100

Brecha de seguridad de la información Información de identificación personal
Endpoint Personal Procesador de PII PII principal

ISO 27.031

Punto objetivo de recuperación (RPO) Tiempo objetivo de recuperación

ISO 22.301

Información confidencial Disrupción

ISO 29.134

Evaluación del impacto de la privacidad

ISO 27.050

INC Cadena de custodia

 

4.3- Nueva estructura de temas y controles

 

Un cambio radical con respecto a la versión anterior es la restructuración de los catorce dominios de controles definidos en ISO 27.002:2013 en torno a 4 grandes temas:

Controles Organizacionales (37 controles)
Controles de Personas (8 controles)
Controles Físicos (14 controles)
Controles Tecnológicos (34 controles)

La clasificación de funciones es más simple que la provista en la versión 2013 de la norma, la cual se encuentra mucho más orientada al contexto de aplicación del control (organizacional, personas, físicos y tecnológicos). La versión 2013, en cada dominio establecía una serie de objetivos de control (34) y controles de seguridad de la información (114), en esta nueva versión, no existe la definición de objetivos de control, contando en total la nueva norma con 93 controles. Sin embargo, incluye un atributo que permite la clasificación especifica del control, en la cual será ubicado en una o más de las 15 categorías establecidas. (Apartado 3.4 del artículo)

Es un cambio positivo, ya que el establecimiento de controles de acuerdo a su contexto de aplicación deja más en evidencia las responsabilidades del personal del negocio para la gestión de la seguridad de la información, ciberseguridad y protección de la privacidad, las que se establecen en torno a 37 controles organizativos, igual que la definición de controles de carácter técnico relacionados a las tecnologías, establecidos en los 34 controles respectivos del tema. La eliminación de los objetivos de control también es un aspecto positivo, ya que estos se encuentran intrínsecamente definidos en el control mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy poco valor.

4.4- Nueva estructura de atributos de los controles

 

La norma proporciona para cada control cinco atributos, estos establecen subclasificaciones que permiten caracterizar al control. Ejemplo: Primer control del tema controles organizacionales.

ISO/IEC Identfficador Nombre de control Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
5.1 Policies for information security #Preventivo #Confidencialidad #Integridad
#Disponibilidad
#Identificar #Gobernanza #Gobernanza_y_ecosistema

Tipo de control : Este atributo posibilita identificar cuando o como el control impacta en la gestión de riesgos con respecto a la ocurrencia de un incidente de seguridad de la información.Sus posibles valores son:

#Preventivo #Detectivo #Correctivo
El control actúa antes de que la amenaza actué. El control actúa cuando la amenaza ocurre. El control actúa después que la amenaza ocurre.

El tipo de control aportará mucho a fortalecer el control interno organizacional, por ejemplo, para identificar controles de diversa naturaleza para la gestión de riesgos de alta criticidad.

Propiedades de Seguridad de la Información: Este atributo proporciona información sobre cómo el control contribuye en la preservación de la triada de la seguridad de la información. Sus posibles valores son:

#Confidencialidad #Integridad #Disponibilidad

La comprensión de este ayudará a la gestión atributos de similares características, tener una visión agregada del atributo posibilita una gestión más efectiva de los controles, así como identificar las potenciales brechas.

Conceptos de Ciberseguridad : Puede ser empleado cuando la organización busca la implementación de un Sistema de Gestión de Seguridad de la Información o un Framework de Ciberseguridad como el del NIST, el cual se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27.101. Los posibles valores que toma el atributo son:

#Identificar #Proteger #Detectar #Responder
#Recuperar

Los Conceptos de Ciberseguridad, son un importante aporte para la implementación de un SGSI o NIST CSF, ya que permite facilitar su alineamiento en torno a las principales funciones del modelo.

Dominios de seguridad : Puede ser usado en caso que la organización quiera clasificar sus controles desde una perspectiva del campo de aplicación de la seguridad de la información y ciberseguridad,

#GobernanzaEcosistema #Protección #Defensa #Resiliencia

El atributo de Dominios de Seguridad, aporta una interesante perspectiva para definir funciones específicas y de alto nivel en la gestión de la ciberseguridad, siendo en un contexto de uso general quizás el que menos aporta, puesto que es aplicable principalmente a grandes organizaciones, no obstante, para aquellas que tengan definidas estas funciones el atributo aportará de una manera significativa en la clasificación. (Incorporando controles preventivos, detectivos y correctivos).

Capacidades operacionales : Este atributo puede ser usado cuando la organización requiere una clasificación de controles desde una perspectiva práctica, como por ejemplo, cuando se requiere

#Gobernanza #Gestión de activos #Protección de la información
#Seguridad en los recursos humanos #Seguridad física #Continuidad
#Seguridad en sistemas y redes #Seguridad en relaciones con proveedores
#Gestión de accesos e identidades #Gestión de amenazas y vulnerabilidades
#Gestión de eventos de seguridad de la información #Seguridad aplicaciones #Legal y cumplimiento
#Aseguramiento de la seguridad #Seguridad en la configuración

Las Capacidades Organizacionales, es una nueva forma de reordenar los controles de manera muy similar a lo establecido en la ISO 27.002:2013, es una forma relevante de clasificar los controles para

Definición de atributos es un aporte en la nueva normativa, su contexto de uso es basatante amplio, así posibilitando el desarrollo de diversos mecanismos de gestión de controles que fortalecerán el control interno, plan de tratamiento riesgos, evaluación de controles, asignación responsabilidades, la auditoría, entre otros. La definición de los controles no sufre mayores cambios con respecto a la versión 2013 : Control, Propósito, Directrices y Otra Información.

 

4.5- Cambios en controles desde la ISO 27002 : 2013

 

Más allá de los cambios de dominio o temas y la definición de los atributos para cada control, el desarrollo de la nueva norma contempla la reducción de controles pasando de los 114 preexistentes en la versión 2013 a 93 controles en la nueva versión. En total se definen 11 nuevos controles:

Nuevos controles
5.7 Inteligencia de amenazas 8.11 Enmascaramiento de datos
5.23 Seguridad de información para uso de servicios en la nube 8.12 Prevención de la fuga de datos
5.30 Preparación de las TIC para continuidad del negocio 8.16 Monitoreo de actividades
7.4 Monitoreo de la seguridad física 7.4 Monitoreo de la seguridad física
8.9 Gestión de la configuración 8.22 Filtrado web
8.10 Eliminación de la información 8.28 Codificación segura

 

Controles que se fusionan con otros controles desde la ISO 27002 : 2013

Diversos controles fueron reordenados y reorganizados en otros controles, generando así nuevos controles provenientes desde la ISO 27.002:2013.Cómo por ejemplo, los controles 5.1.1 y 5.1.2 que se fusionan en el control 5.1 de políticas de seguridad de la información.

5.1.1 Políticas para la seguridad de la información
5.1.2 Revisión de políticas para la seguridad de la información
5.1 Políticas para la seguridad de la información
6.2.1 Política de dispositivos móviles
11.2.8 Equipo de usuario desatendido
8.1 Dispositivos de punto final del usuario
8.1.1 Inventario de activos
8.1.2 Propiedad de activos
5.9 Inventario de información y otros activos asociados
8.1.3 Uso aceptable de los activos
8.2.3 Manipulado de la información
5.10 Uso aceptable de la información y activos asociados
8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes
8.3.3 Soportes físicos en tránsito
7.10 Medios de almacenamiento
9.1.1 Política de control de acceso
9.1.2 Acceso a las redes y a los servicios de red
5.15 Control de accesos
9.2.4 Gestión de la información secreta autenticación de usuarios
9.3.1 Uso de la información secreta de autenticación
9.4.3 Uso Restricción del acceso a la información
5.17 Autenticación de infromación
9.2.2 Provisión de acceso de usuario
9.2.5 Revisión de los derechos de acceso de usuario
8.2.6 Retirada o reasignación de los dechos de acceso
5.18 Derechos de acceso
10.1.1 Política de uso de los controles criptográficos
10.1.2 Uso Gestión de claves
8.24 Uso de criptografía
11.1.2 Controles físicos de entrada
11.1.6 Áreas de carga y descarga
7.2 Controles de entrada física
12.1.4 Separación de los recursos de desarrollo, prueba y operación
14.2.6 Entorno de desarrollo seguro
8.31 Separación de ambientes de desarrollo, prueba y producción
12.4.1 Registro de eventos
12.4.2 Protección de la información del registro
12.4.3 Registros de administración y operación
8.15 Inicio de sesión
12.5.1 Instalación del software en explotación
14.6.2 Restricción en la instalación de software
8.19 Instalación de software en sistemas operativos
12.6.1 Gestión de las vulnerabilidades técnicas
18.2.3 Comprobación del cumplimiento técnico
8.8 Gestión de vulnerabilidades técnicas
12.1.2 Gestión de cambios
12.2.2 Procedimiento de control de cambios en sistemas
12.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema
14.2.4 Restricciones a cambios en paquetes de software
8.32 Gestión del cambio
13.2.1 Política y procedimiento intercambio información
13.2.2 Acuerdos de intercambio de información
13.2.3 Mensajería electrónica
8.26 Transferencia de información
14.1.2 Asegurar servicios de aplicaciones en red pública
14.1.3 Protección de las transacciones de servicios de aplicaciones
8.29 Pruebas de seguridad en desarrollo y aceptación
15.2.1 Control y revisión de la provisión de servicios del proveedor
15.2.2 Gestión de cambios en la provisión del servicio del proveedor
5.22 Monitoreo, revisión y gestión del cambio con proveedores de servicios.
16.2.1 Notificación eventos de seguridad de la información
16.1.3 Notificación de puntos débiles de la seguridad
6.8 Reporte de eventos de seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información
17.1.2 Implementar la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de continuidad de seguridad de la información
5.29 Disrupción durante la seguridad de información
18.1.5 Regulación de los controles criptográficos
18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
5.31 Identificación de requerimientos legales, estatutarios, regulatorios y contractuales.
18.2.3 Comprobación del cumplimiento técnico
18.2.2 Cumplimiento de políticas y normas de seguridad
5.36 Cumplimiento con políticas y estándares para la seguridad de la información

Controles que se eliminan desde la ISO 27002 : 2013

11.2.5 Retirada de materiales propiedad de la empresa

 

5- Conclusiones y Referencias

 

Para todos quienes trabajan en el contexto de la seguridad de la información y ciberseguridad el comprender las caracteristicas de la norma ISO 27.002 y su enfoque de controles permitirá conocer directrices importantes sobre cómo implementar los controles más relevantes en la materia, por tanto, comprender los cambios que se están definiendo sin duda que debe ser considerada como un elemento de competencia para aquellos que aprecien su debida diligencia y cuidado profesional.

Las nuevas estructuras de la norma son un importante paso para la simplificación y facilidad de uso de esta, teniendo importantes cambios, no solo en lo estructural, sino que incluso a nivel de lenguaje acercándose a temas más atingentes a la ciberseguridad actual. La fusión y definición de controles es uno de los aspectos más relevantes, la incorporación de 11 nuevos controles y reordenamiento de más de 54 controles para definir 23 controles nuevos nos permite contar con una norma con definiciones más actualizadas, alineada al contexto de la ciberseguridad, protección de la privacidad y gestión de incidencias, con mayor simplicidad en controles de gestión de activos, control de acceso identidades, seguridad física, seguridad en las operaciones y seguridad en el software, lo cual hace a la norma mucho más comprensible y aplicable.

 

Enlaces de referencia

Etapas y recursos para el desarrollo de estándares ISO
https://www.iso.org/stages-and-resources-for-standards-development.html

Estado actual de la ISO 27.002
https://www.iso.org/standard/75652.html

¡obten gratis la documentación de este artículo!

Descarga el archivo PDF desde nuestra Biblioteca de Recursos, donde encontrarás toda la documentación actualizada y mucho más contenido de interés para ti

Ir al Archivo

¿tienes interés en aprender a implementar iso? revisa nuestros cursos, respaldados por la universidad de santiago de chile.


Por Carlos Lobos de Medina

Ingeniero civil en informática y magister en Informática (C) de la Universidad de Santiago de Chile, diplomado en auditoria de sistemas. Postítulo en seguridad computacional Universidad de Chile. Cuenta con certificaciones internacionales CISA, CISM, COBIT, ITIL, NIST, como certificaciones en la implementación y auditoría de las normas ISO 27001, ISO 27.017, ISO 27.701, ISO 22.301 e ISO 37007.

Director del programa de ciberseguridad de Capacitación USACH. Director  de los PFC de formación de competencia CORFO y CEO & Co-Fonder de Alignment SpA.

Ver perfil

La presente información está pensada para facilitar el acceso en español de los nuevos cambios de la norma ISO 27002 del 2022 , donde se evidencian las principales modificaciones y contrastes con las anteriores versiones de la norma.