La norma favorita de quienes comprenden que el manejo de los datos es lo que nos distingue de otras organizaciones cuenta con una nueva versión: ISO/IEC 27001:2022 ya es una realidad que implica evolución. La actualización del estándar profundiza en cuanto a los controles tecnológicos, mejora el entendimiento que tenemos acerca de los controles físicos, ahonda en la comprensión de la organización sobre seguridad de la información y aumenta la necesidad del enfoque de procesos. Si partimos del hecho de que también hace una actualización del contexto, la norma evolucionó, por ello dará una nueva dinámica a los sistemas de gestión de seguridad de la información (SGSI).

La interacción entre ciberseguridad, seguridad de la información y protección de datos atiende una de las primeras necesidades estratégicas de las organizaciones en la actualidad. ¿Qué cambios relevantes nos ofrece ISO/IEC 27001:2022? Estos son algunos:

• • El cambio más significativo será la introducción de un nuevo Anexo A, que se adapta a los controles más recientes.

• • En comparación con la edición anterior, el número de controles disminuye de 114 controles en 14 cláusulas a 93 controles en 4 cláusulas.

• •  Existen 11 controles nuevos, 24 de ellos se fusionan y 58 controles se actualizan.

• • Se revisa la estructura de control, que introduce “atributo” y “propósito” para cada control y ya no utiliza “objetivo” para un grupo de controles.

• • Pretende ser una guía de toma de decisiones basadas en riesgos.

• • Es menos restrictiva que la versión anterior.

• •  El título de la versión del 2013 era Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos, mientras que el de la versión actual es Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de seguridad de la información — Requisitos.

ISO/IEC 27001 es uno de los estándares más divulgados y solicitados. Además, cuenta con un crecimiento exponencial en los últimos años. Consideramos que la transición contendrá un alcance más técnico que de estructura, pues esta se mantiene.

Pese a la existencia del nuevo estándar, los requisitos de la ISO/IEC 27001:2013 seguirán vigentes por al menos 3 años, los cambios del 2022 comenzarán a regir a partir de ahora y la transición terminará en 2025. Durante ese lapso las organizaciones que implementen la norma tendrán la oportunidad de ganar experiencia, capacitar a sus equipos de trabajo y adaptarse al nuevo estándar. Y las que no estén certificadas, pueden tener tiempo de emplear el estándar ya conocido e implementarlo, siempre y cuando sea antes de 2025. En Asesorías ISO RCR estamos listos para evolucionar contigo, recorre con nosotros el camino de la disponibilidad, integridad y confidencialidad.