La versión 2022 de la Norma ISO 27001 introduce cambios significativos que reflejan las nuevas realidades y desafíos en ciberseguridad, marcando una evolución crucial desde su última actualización en 2013. Este cambio normativo no solo exige una actualización de los sistemas de gestión de seguridad de la información (SGSI) para las empresas auditadas previamente, sino que también establece un marco renovado para la implementación de controles de seguridad más eficaces y relevantes.
Te contamos que deben hacer empresas de todos los sectores Fintech, salud, Startups, y servicios para ajustar el SGSI con la nueva norma.
Revisión Integral del SGSI
Adaptarse a la ISO 27001:2022 comienza con una revisión integral del SGSI de su empresa, lo que incluye definir el alcance, objetivos, indicadores y metas con un enfoque renovado. Un análisis DOFA facilitará la identificación de áreas críticas de mejora y ajuste, asegurando que su sistema esté alineado con los nuevos requisitos y sea capaz de enfrentar los desafíos actuales en seguridad de la información.
La actualización a la versión 2022 de la norma ISO 27001 introduce cambios fundamentales que van más allá de una simple reorganización de controles; uno de los cambios más notables es la mayor enfatización en la comprensión del contexto organizacional y la gestión de riesgos. Mientras que la versión de 2013 ya establecía la importancia del contexto y la evaluación de riesgos, la versión 2022 profundiza en cómo las organizaciones deben analizar y entender su entorno operativo externo e interno, incluyendo las expectativas de las partes interesadas y los requisitos legales y regulatorios específicos.
Es esencial evolucionar de sistemas de gestión basados en papel hacia enfoques más estratégicos, integrando controles e indicadores que refuercen la seguridad de la información.
Nuevos Controles
La norma ahora presenta una lista condensada y optimizada de 93 controles, reducida desde los 114 de la versión anterior, reorganizados para enfocarse en la eficacia y relevancia. Este cambio implica una revisión significativa de sus políticas, procedimientos y formatos para integrar los siguientes controles clave, entre otros:
- Inteligencia de Amenazas y Ciberinteligencia: Es fundamental incorporar políticas y procedimientos que promuevan una comprensión profunda de las amenazas cibernéticas emergentes y cómo pueden afectar a su organización. La Ciberinteligencia es antepase y buscar riesgos de forma pública.
- Seguridad de la Información para la Nube: Con la adopción masiva de servicios en la nube, es crucial adaptar los controles para asegurar la protección de datos en estos entornos.
- Continuidad del Negocio: Reforzar las políticas para garantizar la preparación y respuesta ante incidentes, asegurando la continuidad operativa esto se puede basar en temas como la ISO 22301, y temas de continuidad en nubes como AWS, Google o Microsoft.
- Monitoreo de Seguridad Física: Actualizar los procedimientos para un monitoreo efectivo de los accesos físicos a las instalaciones.
- Eliminación Segura de la Información: Establecer prácticas para la eliminación segura de datos, evitando la recuperación no autorizada.
- Codificación Segura: Integrar prácticas de desarrollo seguro para mitigar riesgos desde la fase de diseño del software. El desarrollo seguro es crear metodologías basado en buenas prácticas como OWASP, tanto en desarrollo como APIs.
- Enmascaramiento de datos: Es el control 8.11, el cual es bien interesante ya que hace que se tenga que enmascarar, cifrar proteger información y unirlo con la gestión de accesos de las empresas.
Implementación Efectiva
La transición hacia la versión 2022 de la norma ISO 27001 exige más que una simple revisión de políticas y procesos; implica una fusión más estrecha con controles técnicos avanzados, como el análisis de vulnerabilidades, pruebas de penetración (pentesting) e inteligencia sobre amenazas. Estos elementos son esenciales para una identificación y mitigación proactivas de los riesgos, permitiendo a las organizaciones fortalecer su seguridad de la información de manera efectiva. La adopción de estos controles técnicos no solo contribuye a prevenir brechas de seguridad, sino que también prepara a la empresa para responder de manera ágil y robusta frente a las amenazas emergentes, en consonancia con las directrices actualizadas de la norma.
Una implementación efectiva del SGSI bajo la norma ISO 27001 exige un enfoque de controles ajustado al alcance definido de la organización. Por ejemplo, si una empresa no se dedica al desarrollo de software, puede optar por excluir controles específicos de desarrollo o considerar cómo gestionar estos aspectos mediante la tercerización. Esto subraya la importancia de personalizar la aplicación de los controles basándose en las operaciones reales y las necesidades específicas de la empresa, garantizando así que cada medida de seguridad sea tanto pertinente como efectiva.
Red Team y Blue Team
En este contexto, una estrategia recomendada para implementar y maximizar la efectividad de estos controles es experimentar con los roles dentro de la organización, adoptando una dinámica de Red Team y Blue Team. Esta aproximación implica que, mientras el Blue Team se concentra en la defensa, optimizando las medidas de seguridad para proteger los activos de la empresa, el Red Team desempeña un papel ofensivo, intentando penetrar las defensas para descubrir vulnerabilidades. Jugar con estos roles no solo promueve un entendimiento más profundo de las posibles brechas de seguridad desde una perspectiva interna y externa, sino que también prepara a la empresa para responder de manera ágil y robusta frente a las amenazas emergentes, en consonancia con las directrices actualizadas de la norma.
El hacer pruebas de ethical hacking es el control 8. 8 de la norma, que conlleva medidas apropiadas y que ya no es como antes que se hacían una sola vez. Ya que las vulnerabilidades dia cero no dan espera.
Menos papel mas controles técnicos
La nueva versión de la norma ISO 27001 propone una transición clara hacia «menos papel y más controles medibles», enfatizando la importancia de adoptar prácticas que prioricen los controles técnicos, identificados con indicadores claros y mecanismos de cifrado como PKI. Este enfoque se alinea con la inclusión de nuevos controles en la norma que abordan aspectos críticos como el desarrollo seguro, el teletrabajo remoto, pentesting, ciberinteligencia y la continuidad del negocio. Integrar estos controles con un sistema de indicadores precisos asegura no solo la conformidad con la norma, sino que también establece las bases para una gestión de la seguridad de la información eficaz y adaptada a las exigencias del entorno digital actual. La práctica constante y la evaluación de estos ejercicios son fundamentales para garantizar la eficacia y la resiliencia del SGSI en el dinámico panorama de la ciberseguridad.
En Cloud Seguro, entendemos los desafíos que esta actualización presenta para las empresas. Nuestro equipo de expertos está listo para asistir en la revisión y ajuste de sus políticas, procedimientos y sistemas, asegurando una implementación efectiva de los nuevos controles. Brindamos apoyo integral en cada paso hacia la conformidad con la versión 2022, en donde empezamos con una pre-auditoría para ayudarte a cumplir con la migración. Tenemos una metodología de 5 pasos, que podemos compartirte si nos escribes.
Nuestros clientes nuestra mejor carta de presentación en toda Latinoamérica, Colombia y Estados Unidos. Para mayor información contáctanos.