+31(0)115-612689 info@we-management.com

Cambios ISO 27002

Fecha de publicación del artículo: 26-10-2021

La organización ISO tiene como objetivo revisar sus estándares cada 5 años y procesar nuevos conocimientos. Está previsto un cambio para finales de este año para ISO 27002, el estándar que está indisolublemente vinculado a ISO 27001, el estándar que formula los requisitos para implementar un sistema de gestión de seguridad de la información. Este artículo proporciona brevemente información sobre qué cambios serán y cómo se pueden abordar.

Cambios ISO 27002 – 1er trimestre 2022 (esperado)

Fecha de publicación del artículo: 26-10-2021

Versión actual: NEN-EN-ISO / IEC 27002: 2017 nl (no difiere en contenido de la versión 2013).
Publicación prevista: 1er trimestre de 2022
Impacto: volver a comprobar las medidas de seguridad – ajustar la documentación – posiblemente introducir nuevas medidas
Implementación desde la publicación del cambio: Después del ajuste ISO 27001: nueva certificación – inmediatamente; certificación existente dentro de los 3 años
Recomendación: Después del ajuste de la norma ISO 27001: implementación durante la recertificación (para evitar tiempo de auditoría adicional durante la auditoría) – ya esté preparado internamente para este cambio

¿Qué cubre la norma ISO 27002?

Este estándar proporciona pautas para la implementación de medidas de seguridad de la información dentro de una organización. Las medidas se incluyen en ISO 27001 en el Anexo A. Cuando una empresa ha certificado su sistema de gestión de seguridad de la información de acuerdo con ISO 27001, la empresa debe verificar, sobre la base de un análisis de riesgo y la lista de medidas establecidas en el Anexo A de ISO 27001, cuyas medidas (114 en total) se aplican. Se espera que la empresa implemente medidas mínimas o equivalentes como se establece en este Anexo A. Esto se registra en un documento disponible públicamente (solicitable), la llamada “declaración de aplicabilidad” (ISO 27001 6.1.3 párrafo d).

Los cambios

A continuación se muestra una breve descripción general de los cambios.

Se ha modificado el diseño de las distintas medidas de seguridad, de modo que el documento se estructura de forma diferente. Las medidas ahora se dividen en 4 categorías (originalmente 14 categorías):

  • Capítulo 5 Organización – 37 medidas
  • Capítulo 6 Personas – 8 medidas
  • Capítulo 7 Físico – 14 medidas
  • Capítulo 8 Tecnológico (Técnico) – 34 medidas

La nueva clasificación conduce a una clasificación más eficiente de las medidas, por ejemplo porque las medidas que se mencionaron por primera vez en diferentes lugares pero que básicamente significan lo mismo ahora se agrupan en una categoría. De esta manera, se han fusionado las medidas del antiguo estándar o se han eliminado las medidas. Ahora hay 93 medidas en este nuevo estándar en lugar de 114. 11 nuevas medidas, 3 medidas existentes eliminadas y varias, como se indicó anteriormente, consolidadas en medidas existentes.

Las nuevas medidas de seguridad están más en línea con la transformación digital actual y el aumento de las ciberamenazas. Por tanto, las nuevas medidas se relacionan con el análisis de amenazas, la seguridad de la información de los servicios en la nube y la programación segura.

A cada medida se le ha dado ahora una etiqueta # en 5 áreas.

Donde corresponda

Se espera que ISO 27002 se publique en el primer trimestre de 2022. La certificación no es contra el estándar ISO 27002, sino contra el estándar ISO 27001. Es por eso que esta norma debe enmendarse primero antes de que la nueva ISO 27002 sea aplicable. El cambio más importante para ISO 27001 será entonces que el Anexo A se incluirá de acuerdo con la nueva clasificación de medidas. Aún no está claro cuándo se actualizará la norma ISO 27001 (probablemente 2022/2023).

Qué hacer

Nuestro consejo es comenzar con los cambios anunciados. Por ejemplo, incluir los cambios anunciados en la planificación, discutir el impacto en la organización y realizar auditorías internas con las nuevas medidas propuestas como tema. ¡Por supuesto, puede acercarse a WE-Management para que lo ayude con esto!

A continuación se muestra una descripción general de las nuevas medidas:

ISO 27002: 2022 Descripción
5.7 Inteligencia de amenazas (inteligencia de amenazas)
5.23 Seguridad de la información para el uso de servicios en la nube
5.30 Preparación de TI para la continuidad del negocio
7.4 Monitoreo de vigilancia física
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de violación de datos
8.16 servicios de monitoreo
8.22 filtrado web
8.28 Cifrado seguro

La siguiente tabla muestra las medidas que se han combinado del antiguo estándar en 1 medida:

ISO 27002: 2022 ISO 27002: 2017
5.1 Políticas de información

5.1.1 Políticas de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información

5.9 Inventario de información y otros activos asociados

8.1.1 Inventario de activos de la empresa
8.1.2 Propiedad de los activos de la empresa

5.14 Transferencia de información

13.2.1 Políticas y procedimientos de transferencia de información
13.2.2 Acuerdos de transporte de información
13.2.3 Mensajes electrónicos

5.15 Control de acceso

9.1.1 Política de seguridad de acceso
9.1.2 Acceso a redes y servicios de red

5.16 Gestión de identidad

9.2.1 Registro y baja de usuarios
9.4.3 Sistema de gestión de contraseñas

5.17 Información de autenticación

9.2.4 Gestión de la información secreta de autenticación de los usuarios
9.3.1 Uso de información de autenticación secreta

5.18 Derechos de acceso

9.2.2 Otorgar acceso a los usuarios
9.2.5 Evaluación de los derechos de acceso de los usuarios
9.2.6 Revocar o modificar los derechos de acceso

5.22 Seguimiento, revisión y gestión de cambios de los servicios de los proveedores

15.2.1 Seguimiento y evaluación de los servicios de los proveedores
15.2.2 Gestión de cambios en servicios a proveedores

5.29 Seguridad de la información durante la interrupción

17.1.1 Planificación de la continuidad de la seguridad de la información
17.1.2 Implementación de la continuidad de la seguridad de la información
17.1.3 Verificar, evaluar y evaluar la continuidad de la seguridad de la información

7.10 Medios de almacenamiento

8.3.1 Gestión de medios extraíbles
8.3.2 Eliminación de medios
8.3.3 Medios de transferencia física

8.1 Dispositivos de punto final de usuario

6.2.1 Política de dispositivos móviles
11.2.8 Equipo de usuario desatendido

8.8 Gestión de vulnerabilidades técnicas

12.6.1 Gestión de vulnerabilidades técnicas
18.2.3 Evaluación del cumplimiento técnico

8.15 Registro

12.4.1 Registrar eventos
12.4.2 Protección de información en archivos de registro
12.4.3 Registros de administrador y operador

8.24 Uso de criptografía

10.1.1 Política sobre el uso de controles criptográficos
10.1.2 Gestión de claves
18.1.5 Regulaciones para el uso de controles criptográficos

8.25 Ciclo de vida de desarrollo seguro

14.1.1 Análisis y especificación de los requisitos de seguridad de la información.
14.2.1 Política de desarrollo seguro

8.26 Requisitos de seguridad de la aplicación

14.1.2 Protección de los servicios de aplicaciones en redes públicas
14.1.3 Protección de las transacciones de servicios de aplicaciones

8.29 Pruebas de seguridad en desarrollo y aceptación

14.2.8 Prueba de seguridad del sistema
14.2.9 Pruebas de aceptación del sistema

8.31 Separación de los entornos de desarrollo, prueba y producción

12.1.4 Separación de los entornos de desarrollo, prueba y producción
14.2.2 Procedimientos de gestión de cambios relacionados con los sistemas
14.2.3 Revisión técnica de aplicaciones después de cambios
plataforma operativa
14.2.4 Restricciones sobre cambios en paquetes de software

8.32 Gestión de cambios

12.1.2 Gestión de cambios
14.2.2 Procedimientos de gestión de cambios relacionados con los sistemas
14.2.3 Revisión técnica de aplicaciones después de cambios
plataforma operativa
14.2.4 Restricciones sobre cambios en paquetes de software

Se han eliminado las siguientes medidas de ISO 27002: 2017:

8.2.3 Manejo de los activos de la empresa
11.2.5 Enajenación de activos de la empresa
16.1.3 Notificación de vulnerabilidades de seguridad de la información

 

A cada medida del nuevo estándar se le ha asignado un #, dividido en 5 categorías:

Cómo categorizar #preventivo, #detective, #corrective
Propiedades de seguridad de la información #confidencialidad, #integridad, #disponibilidad
Conceptos de seguridad cibernética # identificar, # proteger, # detectar, # responder, # recuperar
Capacidades operativas #Gobernanza, #Gestión_de_activos, #Protección_de_información, #Seguridad_de_rescursos_humanos, #Seguridad_física, #Seguridad_sistema_y_red, #Seguridad_de_aplicaciones, #Configuración_segura, #Identidad_y_acceso_gestión, # Gestión_de_ amenazas, seguridad_de_gestión
Dominios de seguridad #gobernanza_y_ecosistema, # protección, # defensa, # resiliencia

Índice nuevo estándar:

Prefacio
0 Introducción
1 Alcance
2 Referencia normativa
3 Términos, definiciones y términos abreviados
4 Estructura de este documento
4.1 Cláusulas
4.2 Temas y atributos
4.3 Diseño de control

5 Controles organizacionales
5.1 Políticas de seguridad de la información
5.2 Roles y responsabilidades de seguridad de la información
5.3 Segregación de funciones
5.4 Responsabilidades de gestión
5.5 Contacto con autoridades
5.6 Contacto con grupos de intereses especiales
5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos
5.9 Inventario de información y otros activos asociados
5.10 Uso aceptable de información y otros activos asociados
5.11 Devolución de activos
5.12 Clasificación de la información
5.13 Etiquetado de información
5.14 Transferencia de información
5.15 Control de acceso
5.16 Gestión de identidad
5.17 Información de autenticación
5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores
5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores
5.21 Gestión de la seguridad de la información en la cadena de suministro de TI
5.22 Seguimiento, revisión y gestión de cambios de los servicios de los proveedores
5.23 Seguridad de la información para el uso de servicios en la nube
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
5.25 Evaluación y decisión sobre eventos de seguridad de la información
5.26 Respuesta a incidentes de seguridad de la información
5.27 Aprendiendo de los incidentes de seguridad de la información
5.28 Recopilación de pruebas
5.29 Información sobre seguridad durante la interrupción
5.30 Preparación de las TIC para la continuidad del negocio
5.31 Identificación de requisitos legales, estatutarios, reglamentarios y contractuales
5.32 Derechos de propiedad intelectual
5.33 Protección de registros
5.34 Privacidad y protección de PII
5.35 Revisión independiente de la seguridad de la información
5.36 Cumplimiento de políticas y estándares de seguridad de la información
5.37 Procedimientos operativos documentados
Controles para 6 personas
6.1 Cribado
6.2 Términos y condiciones de empleo
6.3 Sensibilización, educación y formación en seguridad de la información
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo remoto
6.8 Notificación de eventos de seguridad de la información

7 Controles físicos
7.1 Perímetro de seguridad física
7.2 Controles de entrada física
7.3 Asegurar oficinas, salas e instalaciones
7.4 Supervisión de la seguridad física
7.5 Protección contra amenazas físicas y ambientales
7.6 Trabajar en áreas seguras
7.7 Escritorio despejado y pantalla despejada
7.8 Equipo sentado y protección
7.9 Seguridad de los activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad del cableado
7.13 Mantenimiento de equipos
7.14 Eliminación o reutilización segura de equipos

8 Controles tecnológicos
8.1 Dispositivos de punto final de usuario
8.2 Derechos de acceso privilegiado
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de capacidad
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de fuga de datos
8.13 Copia de seguridad de la información
8.14 Redundancia de instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de seguimiento
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Controles de red
8.21 Seguridad o servicios de red
8.22 filtrado web
8.23 Segregación en redes
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Principios de ingeniería y arquitectura de sistemas seguros
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 Separación de los entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de los sistemas de información durante la auditoría y las pruebas.

Anexo A Uso de atributos
A.1 Introducción
A.2 Vistas organizativas
Anexo B Correspondencia con ISO / IEC 27002: 2013

 

 

¡Contáctenos!

 

Terneuzen, Zelanda, NL

+31(0)681924245

tpm.wollrabe@we-management.com