Controles de seguridad de la información ISO/IEC 27001:2022

CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

ISO/IEC 27001:2022

ISO/IEC 27001:2022

© 2023

Global Standards, S. C.

INTRODUCCIÓN

Desde finales del siglo XX los avances en la tecnología han supuesto una revolución que ha transformado las relaciones personales, gubernamentales y comerciales, dando origen a un espacio donde un conjunto de dispositivos conectados por redes almacena y utiliza información de manera digital que permite la comunicación sin importar las fronteras entre los países, llamado ciberespacio[1] .

Lo anterior ha permitido a las organizaciones tener sistemas automatizados que agilizan y eficientizan sus procesos productivos y a la vez les permite acceder, almacenar e intercambiar información sobre estos, pero también las vuelve más vulnerables a amenazas con la finalidad de extraer, modificar o eliminar dicha información. Por lo que entender la realidad en materia de seguridad de la información permitirá a las organizaciones visualizar los retos a los que se enfrentaran a corto, mediano y largo plazo además

de proporcionarles una prospección de este entorno digital incierto y en constante cambio[2] .

La Asociación Colombiana de Ingenieros de Sistemas (ACIS) en su Revista trimestral “Sistemas” en la publicación “Sociedad 5.0 y tecnologías emergentes al 2030”[3], propone algunos escenarios digitales a los que se podrían enfrentar las organizaciones durante los próximos 10 años (ver tabla 1), dentro de los cuales se destaca la desestabilización organizacional y económica, debido a amenazas llamadas ciberataques que aspiran a tener acceso y control de la información confidencial dentro de la red privada de la organización. Por lo que la meta para las organizaciones deberá ser contar con medidas de ciberseguridad, es decir, contar con herramientas, técnicas y métodos que les permita proteger las redes y dispositivos que almacenan su información confidencial[4]

Tabla 1: Posibles escenarios digitales hacia 2030

Escenario

Descripción

Tenciones geopolíticas Mayores Conflictos comerciales.

Naturaleza del trabajo La tecnología de la información replantea la relación: organización – colaborador y organización – cliente.

Convergencia tecnológica Uso de inteligencia artificial para el almacenamiento y análisis de datos. Ciberconflictos y Ciberataques Generan mayor desestabilización e impacto en las organizaciones.

Inteligencia Colectiva Colaboración entre organizaciones para el desarrollo de medidas de seguridad.

Riesgos líquidos

Son aquellos que, debido a su cambio constante, volatilidad y fluidez no permiten entenderlos con facilidad por lo que exigen propuestas que vayan más allá de los marcos conocidos o probados.

Liderazgo resiliente Actuar, priorizar y mejorar.

Dinero digital Tensión social y comercial por el uso de criptoactivos.

Actualmente existen un sinfín de herramientas de ciberseguridad que permiten a las organizaciones tener sistemas mejor protegidos para hacer frente a los ciberataques, pero en muchas ocasiones a pesar de hacer uso de estas herramientas las organizaciones se ven involucradas en la extracción o modificación de su información confidencial. Por lo anterior además de contar con las mejores herramientas tecnológicas las organizaciones pueden contar con algún sistema que les permita estructurar y gestionar eficazmente las amenazas a las que se enfrenta. El organismo ISO en conjunto con la IEC a través de su familia de normas ISO/IEC 27000 proponen un sistema de gestión de seguridad de la información, que actualmente es el más utilizado por las organizaciones para garantizar a sus clientes que disponen de políticas para proteger su información de las grandes amenazas actuales.

En este E-book, nos centraremos en abordar el Anexo A de la norma ISO/IEC 27001 en donde se establecen los principales controles que ayudarán a las organizaciones a mantener la seguridad de su información.

FAMILIA ISO 27000

La familia de normas ISO/IEC 27000 es un conjunto de estándares desarrollados por el Organismo Internacional para la Estandarización (ISO, del acrónimo en inglés International Organization for Standardization) en conjunto con la Comisión Internacional Electrotécnica (IEC, del acrónimo en inglés International Electrotechnical Commission) y nacen de la necesidad de las organizaciones por contar con criterios de evaluación certificables y reconocidos de manera internacional para la gestión de la seguridad de la información.

El origen de la norma se da en 1989 cuando el Centro de Seguridad de Informática Comercial de Reino Unido (CCSC, por sus siglas en inglés) propone el estándar “Código de buenas prácticas BS779-1”, el cual no era certificable, por lo que en 1998 publica una segunda parte con el código “BS7799-2” en donde describe por primera vez los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) certificable.

En el año 2000 ISO acepta la primera parte del esquema y publica la norma ISO/IEC 17799, posteriormente en 2002 acepta la segunda parte del estándar y es hasta 2005 que publica la familia de las normas ISO/IEC 27000 [5] (figura 1).

CCSC publica la norma “Código de buenas prácticas BS779-1”No certificable

La familia ISO/IEC 27000 consta de 15 normas:

ISO/IEC 27000

Sistema de Gestión de la Seguridad de la Información – Generalidades y vocabulario.

ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información – Requisitos.

ISO/IEC 27002

Buenas prácticas para controles de la seguridad de la información.

ISO/IEC 27003

Guía de implementación del sistema de gestión de la seguridad de la información.

ISO/IEC 27004

Gestión de la seguridad de la información – Medición.

ISO/IEC 27005

Gestión de riesgos de seguridad de la información.

ISO/IEC 27006

Requisitos para empresas de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información.

ISO/IEC 27007

Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información.

ISO/IEC TR 27008

Directrices para auditores sobre control de la seguridad de la información.

ISO/IEC 27010

Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional.

ISO/IEC 27011

Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC 27002.

ISO/IEC 27013

Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/ IEC 20000-1.

ISO/IEC 27014

Gobernanza de la seguridad de la información.

ISO/IEC TR 27015

Directrices para gestión de la seguridad de la información en servicios financieros.

ISO/IEC TR 27016

Directrices para gestión de la seguridad de la información –Empresas de economía.

En octubre de 2022 la norma ISO/IEC 27001 fue revisada, modificada y publicada como ISO/IEC 27001:2022

Seguridad de la información, ciberseguridad y protección de la privacidad – Sistema de Gestión de la Seguridad de la Información- Requisitos. Las principales modificaciones se dieron en el anexo A en donde se establecen los controles que las organizaciones deben implementar en su sistema de gestión de seguridad de la información.

ISO/IEC 27001

La norma ISO 27001 proporciona a las organizaciones los requisitos para implementar un SGSI que les permita proteger sus activos de información, entendiendo por activo, cualquier dispositivo, persona, herramienta, infraestructura, proceso o red de datos que contenga información de valor para la organización, la cual, pueden ser datos; sobre empleados, clientes, proveedores, propiedad intelectual, financieros, registros legales, comerciales y operativos. Es por lo anterior que la norma contempla que la información de valor debe conservar siempre las siguientes tres características:

Disponibilidad: Permitir el acceso a la red y sistemas de información a usuarios autorizados cuando estos lo requieran.

Confidencialidad: Acceso a la información de valor únicamente a usuarios autorizados.

Integridad: Mantener la exactitud de cómo fue almacenada en toda la red y dispositivos.

La implementación de un SGSI ayuda a cualquier organización a responder a la evolución de las ciberamenazas y gestionar de manera eficaz los recursos de ciberseguridad contra cualquier incidente, siendo este, cualquier evento en el cual la información almacenada ha perdido la confidencialidad, integridad o disponibilidad.

ACTUALIZACIÓN ISO/IEC 27001:2022

La pandemia por COVID-19 que inicio en el año 2020 obligó a las organizaciones a establecer nuevos métodos de trabajo en los que se incluyen el uso de redes para almacenar y comunicar información, Lo que significó para las organizaciones aumentar los perímetros de seguridad de la información de sus instalaciones físicas hasta los hogares de los colaboradores. Para atender estas nuevas necesidades el organismo ISO y la IEC publican en 2022 la actualización de la norma ISO/IEC 27001[6] .

Los cambios realizados en esta versión los agruparemos en dos partes, aquellos relacionados con los requisitos para implementar un SGSI y los relacionados con el anexo A, siendo estos últimos los que presentaron una modificación mayor.

Requisitos

\ Se reestructuran los numerales para adecuarse a una estructura de alto nivel, por lo que la organización debe adoptar un pensamiento con enfoque a procesos y basado en riesgos sin olvidar el compromiso y liderazgo de la alta dirección para priorizar los recursos necesarios para garantizar la seguridad de la información.

\ Se establece que las organizaciones deben determinar los requisitos de las partes interesadas que serán abordados en el SGSI.

\ Las organizaciones deben planificar de manera detallada los cambios en el SGSI.

Anexo A

\ Se establece que las organizaciones deben ejercer mayor exigencia en los controles de seguridad de información que sean provistos por proveedores externos.

\ En la cláusula de revisión por la dirección las organizaciones deben evaluar de manera detallada los cambios en las necesidades y expectativas que sean relevantes para las partes interesadas y que impacten en el SGSI.

Se pasa de 14 clausulas a 4 clausulas

Se reduce de 114 controles a 93 controles

Se plantean 11 nuevos controles

En el siguiente tema veremos de manera detallada los cambios que corresponden al anexo A.

ANEXO A DE LA NORMA

ISO/IE 27001:2022

Las medidas implementadas por la organización que ayudan a modificar o resistir las ciberamenazas son denominadas controles, y se pueden clasificar en dos, los que ayudan a mantener los riesgos y los que ayudan a modificarlos. Teniendo en cuenta lo anterior la premisa de la norma ISO/IEC 22001:2022 es “La política de seguridad de la información, permite mantener los riesgos, mientras que el cumplimiento de esta permite modificarlos”

En la norma ISO/IEC 22002 se describen 5 características de los controles que ayudarán a las organizaciones en el monitoreo de estos.

1. Tipo de Control: Este atributo permite a las organizaciones ver cuándo y como el control o controles modifican el riesgo con respecto a la ocurrencia de un incidente. Los tipos de control se clasifican como:

\ Preventivos: Su intención es prevenir la ocurrencia de algún incidente.

\ De detección: Su intención es la de actuar cuando ocurre un incidente.

\ Correctivos: Su intención es actuar después de que ha ocurrido un incidente.

2. Propiedades de la seguridad de la información: este atributo permite a las organizaciones ver si los controles logran mantener las características de: confidencialidad, integridad y disponibilidad.

3. Conceptos de ciberseguridad: este atributo permite a las organizaciones ver si los controles son capaces de identificar, proteger, detectar y recuperar la información de valor para la organización.

\ Identificar: Dónde está almacenada la información de valor para la organización.

\ Proteger: Asegurar que los activos de la organización cuenten con la protección adecuada de acuerdo con el tipo de ciberamenaza detectada.

\ Detectar: Las medidas de seguridad deben ser capaces de emitir alertas cuando se presenta un incidente.

\ Recuperar: Las medidas de seguridad deben permitir a la organización respaldar la información almacenada para en caso de un incidente esta pueda ser recuperada.

4. Capacidad operativa: Permite a las organizaciones ver las capacidades tecnológicas, recursos humanos, legales y financieros con las que cuenta para enfrentar los incidentes.

5. Dominios de Seguridad: Permite a las organizaciones ver los controles desde la perspectiva de cuatro dominios de seguridad de la información:

\ Administración y entorno: Gestionar los riesgos relacionados con la seguridad de la información, así como la ciberseguridad del entorno incluidas las partes interesadas.

\ Protección: Mantenimiento y actualización.

\ Defensa: Detección y gestión de incidentes.

\ Resiliencia: Gestión de crisis.

El Anexo A es un documento normativo en el que se establecen los controles de seguridad específicos de ISO/IEC 27001. Todos estos controles derivan de la norma ISO/IEC 27002:2022 en donde se da una orientación para la implementación de estos. En la nueva versión existe una reestructuración y reagrupación de estos controles con la finalidad de facilitar su comprensión e implementación. Será cada organización la encargada de elegir, dentro del catálogo de controles, los que consideran aplicables para garantizar la seguridad de su información. Sin embargo, la experiencia ha demostrado que en la mayoría de las organizaciones los controles aplicables son la gran mayoría. El criterio principal para la selección de los controles será el resultado de la gestión de riesgos realizada por la organización.

PRINCIPALES CAMBIOS

En la versión de 2013 se proponían 114 controles de seguridad agrupados en 14 grupos, mientras que en la nueva versión se reducen a 93 controles agrupados dentro de los siguientes cuatro grupos:

\ Controles organizacionales.

\ Controles relativos a Personas.

\ Controles físicos.

\ Controles tecnológicos.

CONTROLES ORGANIZACIONALES

Los controles de este grupo se centran en la política de seguridad de la información, la cual debe ser definida, aprobada y revisada a intervalos planificados por la alta dirección, publicada y comunicada a todas las partes interesadas. Lo anterior con la finalidad de garantizar el apoyo al SGSI de acuerdo con los requisitos comerciales, legales y contractuales de la organización.

En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.

Políticas para la seguridad de la información. La política de seguridad de la información y las políticas específicas de cada tema se deben definir, aprobar, publicar y comunicar por la dirección, y reconocer por el personal y las partes interesadas pertinentes, así como ser revisadas a intervalos planificados y, si se producen cambios significativos, actualizarse.

Roles y responsabilidades en seguridad de la información.

Las funciones y responsabilidades en materia de seguridad de la información se deben definir y asignar en función de las necesidades de la organización.

Segregación de funciones. Las funciones y áreas de responsabilidad conflictivas deben estar separadas.

Abordar la seguridad de la información en los acuerdos con los proveedores. Los requisitos de seguridad de la información pertinentes se deben establecer y acordar con cada proveedor en función del tipo de proveedor.

Gestión de la seguridad de la información en la cadena de suministro de las tecnologías de la información y la comunicación (TIC).

Se deben definir y aplicar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC.

Monitoreo, revisión y gestión de cambios de los servicios de los proveedores.

La organización debe supervisar, revisar, evaluar y gestionar regularmente los cambios en las prácticas de seguridad de la información de los proveedores y la prestación de servicios

Responsabilidades de gestión.

La dirección debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida y las políticas y procedimientos específicos de la organización.

Seguridad de la información para el uso de servicios en la nube. Los procesos de adquisición, uso, gestión y salida de los servicios en la nube se deben establecer de acuerdo con los requisitos de seguridad de la información de la organización.

CERTIFICATEControl nuevo

En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.

Contacto con autoridades.

La organización debe establecer y mantener contacto con las autoridades pertinentes.

Planificación y preparación de la gestión de incidentes de seguridad de la información.

La organización debe planificar y preparar la gestión de los incidentes de seguridad de la información definiendo, estableciendo y comunicando los procesos de gestión de incidentes de seguridad de la información, las funciones y las responsabilidades. Contacto con grupos de interés especial. La organización debe establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad.

Inteligencia sobre amenazas.

La información relativa a las amenazas a la seguridad de la información se debe recopilar y analizar para producir inteligencia sobre amenazas.

CERTIFICATEControl nuevo

Seguridad de la información en la gestión de proyectos.

La seguridad de la información se debe integrar en la gestión de proyectos.

Inventario de información y otros activos asociados.

Se debe elaborar y mantener un inventario de la información y otros activos asociados, incluidos los propietarios.

Uso aceptable de la información y otros activos asociados.

Se deben identificar, documentar y aplicar normas y procedimientos para el uso aceptable y el manejo de información y otros activos asociados.

Devolución de activos.

El personal y otras partes interesadas, según corresponda, deben devolver todos los bienes de la organización que estén en su poder cuando cambien o terminen su empleo, contrato o acuerdo.

Clasificación de la información.

La información se debe clasificar en función de las necesidades de seguridad de la información de la organización, sobre la base de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.

Evaluación y decisión sobre eventos de seguridad de la información.

La organización debe evaluar los eventos de seguridad de la información y decidir si deben ser categorizados como incidentes de seguridad de la información.

Respuesta a los incidentes de seguridad de la información.

Se debe responder a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.

Aprender de los incidentes de seguridad de la información.

Los conocimientos obtenidos de los incidentes de seguridad de la información se deben utilizar para reforzar y mejorar los controles de seguridad de la información.

Recopilación de pruebas.

La organización debe establecer y aplicar procedimientos para la identificación, recopilación, adquisición y conservación de pruebas relacionadas con eventos de seguridad de la información.

Seguridad de la información durante una interrupción.

La organización debe planificar cómo mantener la seguridad de la información en un nivel adecuado durante la interrupción.

Preparación de las TIC para la continuidad del negocio.

La preparación de las TIC se debe planificar, aplicar, mantener y probar en función de los objetivos de continuidad del negocio y de los requisitos de continuidad de las TIC.

CERTIFICATEControl nuevo

Requisitos legales, reglamentarios y contractuales.

Los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información y el enfoque de la organización para cumplir con estos requisitos deben ser identificados, documentados y mantenidos al día.

En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.

Etiquetado de la información.

Se debe desarrollar y aplicar un conjunto adecuado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.

Transferencia de información.

Se deben establecer normas, procedimientos o acuerdos de transferencia de información para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.

Control de acceso.

Se deben establecer y aplicar normas para controlar el acceso físico y lógico a la información y otros activos asociados, basándose en los requisitos de seguridad de la organización y de la información.

Gestión de la identidad.

Se debe gestionar el ciclo de vida completo de las identidades.

Derechos de propiedad intelectual. La organización debe aplicar procedimientos adecuados para proteger los derechos de propiedad intelectual.

Protección de los registros.

Los registros se deben proteger contra la pérdida, la destrucción, la falsificación, el acceso no autorizado y la divulgación no autorizada.

Privacidad y protección de la información personal identificable (PII).

La organización debe identificar y cumplir los requisitos relativos a la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.

Revisión independiente de la seguridad de la información.

El enfoque de la organización para la gestión de la seguridad de la información y su aplicación, incluidas las personas, los procesos y las tecnologías, se debe revisar de forma independiente a intervalos planificados o cuando se produzcan cambios significativos.

Información de autentificación.

La asignación y gestión de la información de autenticación se debe controlar mediante un proceso de gestión, que incluya el asesoramiento al personal sobre el manejo adecuado de la información de autenticación.

Derechos de acceso.

Los derechos de acceso a la información y a otros activos asociados deben ser proporcionados, revisados, modificados y eliminados de acuerdo con la política específica de la organización sobre el tema y las reglas para el control de acceso.

Seguridad de la información en las relaciones con los proveedores.

Se deben definir y aplicar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados al uso de los productos o servicios del proveedor.

Cumplimiento de las políticas, reglas y normas de seguridad de la información.

Se debe revisar periódicamente el cumplimiento de la política de seguridad de la información de la organización, las políticas específicas de cada tema, las reglas y las normas.

Procedimientos operativos documentados. Los procedimientos de funcionamiento de las instalaciones de tratamiento de la información deben estar documentados y a disposición del personal que los necesite.

CONTROLES RELATIVOS A LAS PERSONAS

Los controles aquí agrupados se enfocan en promover la toma de conciencia y educación en temas de seguridad de la información a todo el personal interno y externo de la organización, con el propósito de asegurar que este sea consciente de como impactan sus acciones en el SGSI. Se hace especial énfasis en que el personal involucrado en el SGSI cuente con las competencias necesarias para desempeñar sus funciones.

En este grupo se mantienen los 8 controles de la versión ISO/IEC 27001:2013 [7]

Detección (Screening).

Las comprobaciones de los antecedentes de todos los candidatos a personal se deben llevar a cabo antes de incorporarse a la organización y de forma continua, teniendo en cuenta las leyes, los reglamentos y la ética aplicables, y serán proporcionales a los requisitos de la empresa, la clasificación de la información a la que se va a acceder y los riesgos percibidos.

Condiciones de contratación.

Los acuerdos contractuales de empleo deben establecer las responsabilidades del personal y de la organización en materia de seguridad de la información.

Responsabilidades tras el cese o el cambio de empleo.

Las responsabilidades y obligaciones en materia de seguridad de la información que sigan siendo válidas después de la terminación o el cambio de empleo se deben definir, aplicar y comunicar al personal pertinente y a otras partes interesadas.

Acuerdos de confidencialidad o no divulgación. Los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la información deben ser identificados, documentados, revisados periódicamente y firmados por el personal y otras partes interesadas pertinentes.

Sensibilización, educación y formación en materia de seguridad de la información. El personal de la organización y las partes interesadas pertinentes deben recibir una concienciación, educación y formación adecuadas en materia de seguridad de la información, así como actualizaciones periódicas de la política de seguridad de la información de la organización y de las políticas y procedimientos específicos, según corresponda a su función laboral.

Proceso disciplinario. Se debe formalizar y comunicar un proceso disciplinario para tomar medidas contra el personal y otras partes interesadas pertinentes que hayan cometido una infracción de la política de seguridad de la información.

Trabajo a distancia. Se deben aplicar medidas de seguridad cuando el personal trabaje a distancia para proteger la información a la que se accede, se procesa o se almacena fuera de los locales de la organización.

Informes de eventos de seguridad de la información.

La organización debe proporcionar un mecanismo para que el personal informe de los eventos de seguridad de la información observados o sospechosos a través de los canales apropiados de manera oportuna

CONTROLES FÍSICOS

En este grupo los controles ayudan a evitar el acceso físico no autorizado y el daño a los activos de la organización. Los controles consisten en garantizar que las áreas denominadas como seguras estén diseñadas de manera adecuada y protegidas por acceso controlados con el fin de asegurar solo el acceso a personal autorizado a la información de la organización.

En esta nueva versión[7] se proponen 14 controles, se mantienen 13 de la versión anterior y se agrega 1 control nuevo

Perímetros de seguridad física.

Se deben definir y utilizar perímetros de seguridad para proteger las zonas que contienen información y otros activos asociados.

Entrada física.

Las zonas seguras deben estar protegidas por controles de entrada y puntos de acceso adecuados.

Asegurar las oficinas, salas e instalaciones. Se debe diseñar y aplicar la seguridad física de las oficinas, salas e instalaciones.

Supervisión de la seguridad física. Las instalaciones deben estar continuamente vigiladas para evitar el acceso físico no autorizado.

CERTIFICATEControl nuevo

Protección contra las amenazas físicas y medioambientales.

Se debe diseñar y aplicar la protección contra las amenazas físicas y medioambientales, como las catástrofes naturales y otras amenazas físicas intencionadas o no intencionadas para las infraestructuras.

Trabajar en zonas seguras.

Se deben diseñar y aplicar medidas de seguridad para trabajar en zonas seguras.

Escritorio y pantalla despejados.

Se deben definir y aplicar adecuadamente las normas de limpieza de los escritorios para los papeles, los medios de almacenamiento extraíbles y las normas de limpieza de las pantallas para las instalaciones de procesamiento de la información.

Ubicación y protección de los equipos. El equipo debe estar ubicado de forma segura y protegida.

Seguridad de los activos fuera de las instalaciones.

Se deben proteger los activos fuera del sitio.

Medios de almacenamiento. Los soportes de almacenamiento se deben gestionar a lo largo de su ciclo de vida de adquisición, uso, transporte y eliminación de acuerdo con el esquema de clasificación y los requisitos de manipulación de la organización.

Servicios de apoyo.

Las instalaciones de procesamiento de la información deben estar protegidas contra los cortes de energía y otras interrupciones causadas por fallos en los servicios públicos de apoyo.

Seguridad del cableado. Los cables que transporten energía, datos o servicios de información de apoyo deben estar protegidos contra la interceptación, las interferencias o los daños.

Mantenimiento de los equipos. Los equipos se deben mantener correctamente para garantizar la disponibilidad, integridad y confidencialidad de la información.

Eliminación segura o reutilización de los equipos.

Los equipos que contengan soportes de almacenamiento se deben verificar para garantizar que los datos sensibles y los programas informáticos con licencia se hayan eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.

CONTROLES TECNOLÓGICOS

Los controles en este grupo permiten garantizar el ciclo de vida de la información es decir permiten mantenerla segura desde su almacenamiento y transmisión hasta su eliminación de la red.

En esta versión ISO/IEC 27002:2020[7] se proponen 34 controles de los cuales 27 se mantienen de la versión anterior y se proponen 7 nuevos controles.

Dispositivos de punto final del usuario. Se debe proteger la información almacenada, procesada o accesible a través de los dispositivos de punto final del usuario.

Derechos de acceso con privilegios. La asignación y el uso de los derechos de acceso privilegiados deben ser restringidos y gestionados.

Restricción del acceso a la información. El acceso a la información y a otros activos asociados se debe restringir de acuerdo con la política específica de control de acceso establecida.

Acceso al código fuente. El acceso de lectura y escritura al código fuente, a las herramientas de desarrollo y a las bibliotecas de software se debe gestionar adecuadamente.

Autenticación segura.

Las tecnologías y procedimientos de autenticación segura se deben aplicar en función de las restricciones de acceso a la información y de la política específica de control de acceso.

Gestión de la capacidad.

La utilización de los recursos se debe supervisar y ajustar en función de las necesidades de capacidad actuales y previstas.

Protección contra el malware.

La protección contra los programas maliciosos debe ser implementada y apoyada por una adecuada concienciación de los usuarios.

Gestión de las vulnerabilidades técnicas.

Se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso. Se evaluará la exposición de la organización a dichas vulnerabilidades y se tomarán las medidas adecuadas.

Gestión de la configuración.

Las configuraciones, incluidas las de seguridad, del hardware, el software, los servicios y las redes se deben establecer, documentar, aplicar, supervisar y revisar.

CERTIFICATEControl nuevo

Uso de programas de utilidad privilegiados. El uso de programas de utilidad que puedan ser capaz de anular los controles del sistema y de la aplicación debe ser restringido y controlado estrictamente.

Instalación de software en sistemas operativos. Se deben aplicar procedimientos y medidas para gestionar de forma segura la instalación de software en los sistemas operativos.

Seguridad de las redes. Las redes y los dispositivos de red deben estar asegurados, gestionados y controlados para proteger la información de los sistemas y aplicaciones.

Seguridad de los servicios de red.

Se deben identificar, aplicar y supervisar los mecanismos de seguridad, los niveles de servicio y los requisitos de servicio de los servicios de red.

Segregación de redes.

Los grupos de servicios de información, los usuarios y los sistemas de información deben estar segregados en las redes de la organización.

Filtrado web.

El acceso a sitios web externos se debe gestionar para reducir la exposición a contenidos maliciosos. CERTIFICATEControl nuevo

Uso de criptografía.

Se deben definir y aplicar normas para el uso eficaz de la criptografía, incluida la gestión de claves criptográficas.

Ciclo de vida de desarrollo seguro.

Se deben establecer y aplicar normas para el desarrollo seguro de software y sistemas.

Requisitos de seguridad de las aplicaciones. Los requisitos de seguridad de la información se deben identificar, especificar y aprobar cuando se desarrollen o adquieran aplicaciones.

En esta versión ISO/IEC 27002:2020[7] se proponen 34 controles de los cuales 27 se mantienen de la versión anterior y se proponen 7 nuevos controles.

Eliminación de información.

La información almacenada en los sistemas de información, dispositivos o en cualquier otro medio de almacenamiento se debe eliminar cuando ya no sea necesaria.

CERTIFICATEControl nuevo

Enmascaramiento de datos.

El enmascaramiento de datos se debe utilizar de acuerdo con la política específica de la organización sobre el control de acceso y otras políticas temáticas relacionadas, así como con los requisitos empresariales, teniendo en cuenta la legislación aplicable.

CERTIFICATEControl nuevo

Prevención de fuga de datos.

Las medidas de prevención de fuga de datos se deben aplicar a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información sensible

CERTIFICATEControl nuevo

Información de respaldo. Las copias de seguridad de la información, los programas informáticos y los sistemas se deben mantener y comprobar periódicamente de acuerdo con la política acordada en materia de copias de seguridad.

Redundancia de las instalaciones de tratamiento de la información.

Las instalaciones de procesamiento de la información se deben implementar con una redundancia suficiente para cumplir con los requisitos de disponibilidad.

Registro.

Se deben producir, almacenar, proteger y analizar las bitácoras que registran las actividades, las excepciones, los fallos y otros eventos relevantes.

Actividades de seguimiento.

Las redes, los sistemas y las aplicaciones se deben supervisar para detectar comportamientos anómalos y tomar las medidas adecuadas para evaluar posibles incidentes de seguridad de la información

CERTIFICATEControl nuevo

Sincronización del reloj.

Los relojes de los sistemas de procesamiento de la información utilizados por la organización deben estar sincronizados con las fuentes de tiempo aprobadas.

Arquitectura de sistemas seguros y principios de ingeniería.

Se deben establecer, documentar, mantener y aplicar los principios de ingeniería de sistemas seguros a cualquier actividad de desarrollo de sistemas de información.

Codificación segura.

Los principios de codificación segura se deben aplicar al desarrollo de software.

CERTIFICATEControl nuevo

Pruebas de seguridad en el desarrollo y la aceptación.

Los procesos de pruebas de seguridad se deben definir y aplicar en el ciclo de vida del desarrollo.

Desarrollo subcontratado. La organización debe dirigir, supervisar y revisar las actividades relacionadas con el desarrollo de sistemas subcontratados.

Separación de los entornos de desarrollo, prueba y producción. Los entornos de desarrollo, prueba y producción deben estar separados y protegidos.

Gestión del cambio.

Los cambios en las instalaciones de tratamiento de la información y en los sistemas de información se deben someter a procedimientos de gestión de cambios.

Información de la prueba. La información de las pruebas se debe seleccionar, proteger y gestionar adecuadamente.

Protección de los sistemas de información durante las auditorías de prueba. Las auditorías de prueba y otras actividades de garantía que impliquen la evaluación de los sistemas operativos se deben planificar y acordar entre el encargado de las pruebas y la dirección correspondiente.

Podemos notar que esta nueva versión de ISO 27001 presentó múltiples cambios, siendo los más significativos aquellos relacionados con los controles de seguridad, lo anterior debido a la necesidad de adaptación de las organizaciones a este mundo digital en constante cambio.

CONCLUSIONES

Las tendencias de conectividad ofrecen nuevas posibilidades de desarrollo para las organizaciones, pero también les representan nuevos riesgos, los cuales están más allá de los estándares tradicionales y buenas prácticas de seguridad. En consecuencia, las organizaciones deberán ser capaces de responder con una postura que les permita construir una nueva cultura de ciberseguridad para entender los desafíos y amenazas que surgen y evolucionan con el avance tecnológico. Si bien el pronóstico en materia de ciberseguridad está lleno de sorpresas, el implementar un sistema de gestión de seguridad de la información bajo la norma ISO27001:2022 ayudará a cualquier organización a abordar los retos de ciberseguridad con un lenguaje claro y fluido que declara la información como activo relevante confirmado por el liderazgo de la alta dirección, además de permitirle emerger rápidamente como líder en su ramo, al demostrar ante la sociedad compromiso con la seguridad de la información.

Referencias:

[1] M. Nieva y G. Manuel, “La ciberseguridad como factor crítico en la seguridad de la Unión Europea”, Revista UNISCI, núm. 42, pp. 47- 68, 2016.

[2] A. De Geus. “La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento”. Granica. Buenos Aires, Argentina, 2012.

[3] J. Cano. “Reflexión sobre un ejercicio prospectivo incompleto”. Revista Sistemas, Núm. 154, pp. 68 -79, 2020

[4] S. Hurtaud.”Cyber security Time for a new paradigm”. Information & Technology Risk”. Ed. Deloitte. 2014

[5] Información fundamental sobre el significado y sentido de implantación y mantenimiento de los Sistemas de Gestión de la Seguridad de la Información. disponible en https://www.iso27000.es/sgsi.html, visitado 09/02/2023.

[6] ISO/IEC 27001: What’s new in IT security? Disponible en https://www.iso.org/contents/news/2022/10/ new-iso-iec-27001.html visitado 09/03/2022.

[7] Seguridad de la información, ciberseguridad y protección de la privacidad – Sistema de Gestión de la Seguridad de la Información- Requisitos, Norma ISO/IEC 27001:2022. Traducción de Global STD.