ISO/IEC 27001:2022
Requisitos de la versión actual.
La versión más reciente de la norma ISO 27001, actualizada en el año 2022, mantiene su estructura basada en el Alto Nivel de 10 capítulos. Esta estructura consta de tres capítulos introductorios y aclaratorios, seguidos de siete capítulos finales que albergan los requisitos fundamentales de la norma. Un aspecto distintivo de ISO 27001 es la inclusión del Anexo A de Controles, una característica de gran relevancia.
En lo que respecta a los requisitos, que se encuentran en las cláusulas 4 a 10, la norma no experimenta cambios estructurales significativos. En su lugar, se centra en aclaraciones y precisiones de carácter semántico. Las modificaciones más notables se concentran en la sección de controles.
A continuación, realizaremos un análisis detallado de las solicitudes en cada una de estas cláusulas:
Requisito 4
Contexto de la Organización.
En esta cláusula, se exige identificar y detallar los aspectos, condiciones, factores y elementos, tanto internos como externos, que pueden influir en la capacidad de la organización para alcanzar sus objetivos en el ámbito de la Seguridad de la Información.
El contexto de la organización se ve modelado por diversos elementos, como la cultura interna y externa, la estructura de gestión, las exigencias regulatorias y las necesidades específicas de formación en Seguridad de la Información, entre otros factores.
Requisito 5 Liderazgo
La ISO 27001 actualizada insta ala Alta Dirección a asumir un papel de liderazgo en el proyecto, la implementación y el mantenimiento del Sistema de Gestión de Seguridad de la Información, así como en la asignación de responsabilidades y recursos. Entre las acciones requeridas, la Alta Dirección debe redactar y publicar una política de Seguridad de la Información que refleje su compromiso con las mejores prácticas para proteger la información de la organización, de los clientes y otras partes interesadas, y de los datos que se gestionan para cumplir los objetivos comerciales.
Requisito 6 Planificación.
La evaluación de riesgos es el núcleo de la planificación de la Gestión de Seguridad de la Información. La norma solicita identificar, evaluar y diseñar acciones de tratamiento para las amenazas y oportunidades. La Gestión de Riesgos debe ser planificada, y se requiere la elaboración de un plan de Gestión de Riesgos que incluya los objetivos perseguidos y la forma en que se lograrán. Se distinguen dos tipos de objetivos: generales y específicos, estos últimos definidos para periodos determinados, lo que implica una actualización constante del Sistema, seguida de una monitorización y revisión planificada de los cambios.
Requisito 7
El soporte abarca los elementos necesarios para que el Sistema funcione y alcance sus objetivos, como recursos económicos, financieros, tecnológicos, formación y capacitación, comunicación, cultura, concienciación y documentación. Algunos requerimientos en cuanto a recursos deben ser establecidos mediante procedimientos específicos, que deben ser debidamente documentados. Esto incluye la identificación de competencias y necesidades de capacitación, así como la creación de procedimientos para implementar programas de concienciación y promover la cultura de Seguridad de la Información en toda la organización.
Requisito 8 Operación
La cláusula de operación, en el numeral 8, solicita demostrar cómo operan los procesos definidos de acuerdo con los requisitos previos y cómo interactúan entre sí.
Requisito 9
Evaluación del desempeño
ISO 27001 actualizada requiere que la organización establezca si el Sistema cumple con lo planificado y puede alcanzar los objetivos. La norma permite a la organización elegir los indicadores necesarios para medir el desempeño. Aunque la norma no lo exige, es recomendable documentar la elección y el funcionamiento de los indicadores de desempeño, especificando si son adelantados, rezagados, cualitativos o cuantitativos. Los indicadores, o KPIs, son esenciales para evaluar el Sistema a diario, pero una evaluación más formal y detallada puede llevarse a cabo mediante auditorías o revisiones de la Alta Dirección.
Requisito 10 Mejora continua
La mejora continua se aborda de manera más breve en la última sección de ISO 27001 actualizada. Aunque es un aspecto esencial, se menciona de forma resumida. Se destaca la necesidad de identificar no conformidades y diseñar e implementar acciones correctivas para abordarlas. No todas las cuestiones se consideran no conformidades, y no siempre es necesario aplicar medidas complejas para resolver problemas menores.
En resumen, ISO/IEC 27001:2022 introduce cambios en los controles, que pasan de 114 a 93, con algunas fusiones significativas. Se brinda flexibilidad para elegir controles adicionales, y se organizan en cuatro categorías: Organizativos, de Personas, Físicos y Tecnológicos. La norma también exige la producción de una Declaración de Aplicabilidad que explique la elección y exclusión de controles.
En cuanto a la documentación necesaria para cumplir con la norma, se requieren pocos documentos obligatorios, como el Documento de Contexto de la Organización, la identificación de partes interesadas, la política, los objetivos, el plan para alcanzarlos, la asignación de responsabilidades y otros elementos esenciales.
En conclusión, la ISO 27001 actualizada demanda un sólido respaldo tecnológico para la gestión de la documentación y fomenta la formación como un elemento clave para cumplir con sus requisitos. Esto subraya la importancia de contar con programas de formación, como el Diplomado de Seguridad de la Información ISO/IEC 27001, que ofrece una doble titulación como experto en Seguridad de la Información y auditor de Sistemas de Gestión de Seguridad de la Información, junto con la posibilidad de obtener el Certificado ERCA del Registro Europeo de Auditores Certificados. Un camino hacia el reconocimiento y el éxito en el mundo de la seguridad de la información.
