Unidad III: ISO 27002 año 2022 (Freddy Gutierrez)

 

Fuente: https://www.youtube.com/watch?v=opY5RqCAgZY

AutorCarlos Villamizar

Los principales cambios de la actualización de la norma ISO 27002:2022

 

El pasado 16 de febrero de 2022 fue publicada por ISO (International Organization for Standardization) la actualización de ISO 27002, norma diseñada para uso por parte de las organizaciones como referencia para la selección de controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma certificable ISO/IEC 27001.

La publicación de 2022 es la tercera versión de la norma ISO 27002, que tuvo su primera versión en 2.005 y la segunda en 2.013, con lo cual se establece un ciclo de actualización de versiones cada 8/9 años. Actualmente se encuentra disponible únicamente en idioma inglés.

Estructura de la Norma ISO 27002:2022

La nueva versión de la norma ISO 27002 tiene la siguiente estructura:

Introducción: contextualiza el valor de la información para las organizaciones, cómo es alcanzada la seguridad de la información a través de la implementación de un conjunto de controles de seguridad, los requerimientos de seguridad de la información que debe determinar una organización, la determinación de controles para proteger la información, consideraciones del ciclo de vida de la información (desde su creación hasta su eliminación) y la relación de esta norma con otras normas (especialmente de la familia ISO/IEC 2700).

  • Cláusula 1 – Alcance: indica que este documento está diseñado para que las organizaciones lo utilicen como referencia para la selección de controles en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001.
  • Cláusula 2 – Referencias normativas: no hay referencias normativas en esta norma.
  • Cláusula 3 – Términos, definiciones y términos abreviados: relaciona un conjunto de términos, definiciones y abreviaturas que aplican en el contexto de esta norma.
  • Cláusula 4 – Estructura del documento: determina las cláusulas, temas y atributos, y diseño de estructura de cada control incluido en la norma.
  • Cláusulas 5 a 8: establece nombre de control, tabla de atributos, propósito, guía de implementación y otra información (si aplica) para controles de seguridad:
  • Organizacionales (Cláusula 5).
  • Personas (Cláusula 6).
  • Físicos (Cláusula 7).
  • Tecnológicos (Cláusula 8).
  • Anexo A: Este anexo proporciona una tabla para demostrar el uso de los atributos como forma de crear diferentes vistas de los controles.
  • Anexo B: Correspondencia entre ISO/IEC 27002:2022 con ISO/IEC 27002:2013
  • Bibliografía: Relación de otras normas y documentos usados en esta norma.

Principales novedades de la norma ISO 27002:2022

A continuación, un resumen de los principales cambios de la norma ISO27001:2022 frente a la versión anterior:

  1. Cambio en el nombre de la norma: Se ha eliminado el término “Código de prácticas” del nombre de la nueva norma ISO 27002. Su nombre actual es “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”, lo cual refleja un contexto más amplio y que incluye ahora la prevención, detección y respuesta a ciberataques, así como la protección de los datos.
  2. Cambios en controles de seguridad: La norma ISO 27002:2013 contenía 114 controles (divididos en 14 Anexos). La versión 2022 contiene 93 controles, divididos en 4 cláusulas que se enfocan hacia el contexto de aplicación del control así:
  • Controles Organizativos: 37 controles
  • Controles de Personas: 8 controles
  • Controles Físicos: 14 controles
  • Controles Tecnológicos: 34 controles

De los 93 controles actuales:

  • 58 se han actualizado
  • 24 representan la fusión de controles anteriores
  • 11 se han introducido como nuevos controles

Este nuevo enfoque conlleva también la desaparición del concepto “objetivo de control”, aunque se incluye un atributo que permite la clasificación específica del control en uno o más de 15 categorías establecidas, como se indica en el siguiente apartado.

  1. Estructura de atributos de controles: cada uno de los 93 controles contiene una estructura de atributos particular que determina:

  • Tipo de control: atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información identificando si es Preventivo, Detectivo o Correctivo.
  • Propiedades de seguridad de la información: atributo para ver los controles desde la perspectiva de qué características de la información el control contribuirá a preservar: Confidencialidad, Integridad o Disponibilidad.
  • Conceptos de Ciberseguridad: atributo para ver los controles desde la perspectiva de la asociación de los controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110 y usado en otros marcos de trabajo como NIST-Cibersecurity Framework: Identificar, Proteger, Detectar, Responder, Recuperar.
  • Capacidades Operativas: atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información. Los valores de este atributo son:
    • Gobernanza,
    • Gestión de activos,
    • Protección de la información,
    • Seguridad de los recursos humanos,
    • Seguridad física,
    • Seguridad de sistemas y redes,
    • Seguridad de las aplicaciones,
    • Configuración segura,
    • Gestión de la identidad y del acceso,
    • Gestión de amenazas y vulnerabilidades,
    • Continuidad,
    • Seguridad de las relaciones con los proveedores,
    • Cumplimiento legal,
    • Gestión de eventos de seguridad de la información
    • Aseguramiento de la información
  • Dominios de Seguridad: atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información: Gobernanza y ecosistema, Protección, Defensa, Resiliencia.






Comentarios

Publicar un comentario

Entradas más populares de este blog

Unidad III - COBIT 2019 (SKARLETH ESCALONA)

  ¿Que es COBIT 2019? COBIT 2019 es un desarrollado por ISACA, que ayuda a las organizaciones a alinear sus estrategias de TI con sus objetivos de negocio. Es una actualización de COBIT 5 que incluye nuevas perspectivas, directrices y certificaciones para impulsar el crecimiento de las empresas.  COBIT de divide en 5 objetivos principales que son de gobierno y 35 objetivos de gestión.  5 Objetivos de Gobierno: EDM01 Definir la dirección del gobierno y la estructura:  Establece el tono y la estructura para cómo se deben gobernar todas las áreas de TI, incluyendo la definición de roles y responsabilidades para la toma de decisiones relacionadas con la seguridad, la infraestructura de red, la gestión de datos y los procesos de desarrollo. EDM02 Asegurar la entrega de valor: Dirige a la gestión a asegurar que las inversiones en todas las áreas de TI (seguridad, redes, bases de datos, desarrollo) generen valor para la empresa, alineándose con los objetivos estratégic...
Leer más

Trabajo Manuscrito Unidad I (SKARLETH ESCALONA)

                                                                                                                                                                                                                             ...
Leer más

La Auditoria De Sistemas, Auditoria interna y nuevas tecnologías (Skarleth Escalona )

Imagen
 La Auditoria De Sistemas, Auditoria interna y nuevas tecnologías Video de Youtube : https://www.youtube.com/watch?v=NCYEFdfejj4 Fecha de Publicación:  16 ago 2019 Publicado por: @incpcol INNOVACIÓN La tecnología y su impacto en la auditoría interna de las organizaciones Para mayor información visite el siguiente link: https://incp.org.co/publicaciones/infoincp-publicaciones/estandares-internacionales/2025/03/iia-destaca-tendencias-en-auditoria-interna-mas-tecnologia-nuevas-responsabilidades-y-mayor-inversion/ )  
Leer más