¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará «Controles de Seguridad de la Información».
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el www seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Ventajas
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!