ISO/IEC 27001:2022: Gestión de Seguridad de la Información
La ISO/IEC 27001:2022 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), ayudando a las organizaciones a proteger sus datos contra amenazas cibernéticas crecientes. Esta versión actualizada incorpora cambios clave para abordar riesgos modernos, manteniendo un enfoque holístico en personas, procesos y tecnología. (International Organization for Standardization [ISO], 2022).
Fundamentos del Estándar
ISO/IEC 27001 es el estándar más reconocido mundialmente para los SGSI, aplicable a empresas de cualquier tamaño y sector. Define requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI que gestione riesgos relacionados con la seguridad de datos propios o manejados por la organización. Su conformidad asegura el respeto a las mejores prácticas internacionales en ciberseguridad y protección de la privacidad. (ISO, 2022, p. 1).
La familia ISO/IEC 27000 proporciona recomendaciones para la gestión de riesgos de información mediante controles de seguridad, similar a sistemas de gestión de calidad o ambiental. ISO/IEC 27001 se centra en los requisitos certificables, mientras que normas complementarias como ISO/IEC 27002 ofrecen guías prácticas (ISO, 2022b, Introducción).
Cambios Clave vs. Versión 2013
Respecto a la edición 2013, ISO/IEC 27001:2022 reduce los controles del Anexo A de 114 a 93, reorganizados en cuatro temas: organizacionales (37 controles), personas (8), físicos (14) y tecnológicos (34). Se introdujeron 11 controles nuevos sobre temas como monitoreo de seguridad física, eliminación de información, preparación TIC para continuidad y prevención de fugas de datos (ISO, 2022, Anexo A).
La estructura principal de cláusulas 4 a 10 permanece igual, enfatizando la comprensión del contexto organizacional y la gestión de riesgos dinámica. Las organizaciones deben actualizar su Declaración de Aplicabilidad (SoA) para reflejar la nueva estructura del Anexo A. (ISO, 2022, p. 5).
Enmienda 1:2024 - Acción Climática
La Enmienda 1 a ISO/IEC 27001:2022, publicada en 2024, incorpora consideraciones de cambio climático. En la cláusula 4.1, se añade: "La organización deberá determinar si el cambio climático es un problema relevante", evaluando impactos como desastres naturales en centros de datos o regulaciones ambientales. (ISO, 2024, Cláusula 4.1)
La cláusula 4.2 incluye una nota: "Las partes interesadas relevantes pueden tener requisitos relacionados con el cambio climático", como clientes o reguladores que exigen prácticas sostenibles. Esto integra riesgos climáticos en el SGSI, alineando seguridad informática con sostenibilidad. " (ISO, 2024, Cláusula 4.2, Nota).
Beneficios de Implementar ISO/IEC 27001:2022
Implementar este estándar reduce vulnerabilidades a ciberataques, preserva la confidencialidad, integridad y disponibilidad de la información, y prepara a la organización para amenazas emergentes. Proporciona un marco centralizado para proteger activos en todos los formatos: papel, nube o digital. (ISO, 2022).
Relación con ISO/IEC 27002:2022
ISO/IEC 27002:2022 complementa ISO/IEC 27001 al detallar controles de seguridad, ciberseguridad y privacidad, con 93 controles actualizados para amenazas modernas como inteligencia de amenazas y seguridad en la nube. Sirve como código de práctica para implementar el Anexo A de ISO/IEC 27001. (ISO, 2022).
Referencias
International Organization for Standardization. (2022). ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. https://www.iso.org/standard/27001.
International Organization for Standardization. (2024). ISO/IEC 27001:2022/Amd 1:2024. Amendment 1: Climate action changes. https://www.iso.org/standard/88435.html.
International Organization for Standardization. (2022). ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls. https://www.iso.org/standard/75652.html.