La norma ISO/IEC 27001 y, conforme a ella, su guía de desarrollo ISO/IEC 27002, proveen de un marco estandarizado para el establecimiento, implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas nacional e internacionalmente reconocidas. En este sentido, adoptan un enfoque holístico y necesariamente adaptable a los cambios del entorno, para garantizar su eficacia y utilidad práctica. Es por ello que, con base en los cambios del contexto de la seguridad de la información derivados del avance tecnológico, el desarrollo de los servicios en la nube y las nuevas formas de gestionar los activos, servicios y procesos productivos se haya visto en la necesidad de introducir con su actualización 2022 una serie de modificaciones, especialmente pronunciadas en la norma ISO/IEC 27002.
Modificaciones en la estructura de la norma
Con base en estas modificaciones, se observa que la norma ISO/IEC 27001/2022 mantiene la misma estructura que su predecesora, conformada por siete capítulos que desarrollan a lo largo de sus capítulos cuatro al diez los requisitos normativos básicos para el establecimiento de un SGSI. Por su parte, la norma ISO/IEC 27002/2022 propone un nuevo enfoque organizativo para la gestión de los controles y requisitos de seguridad de la información, pasando de contar con catorce capítulos, treinta y cinco categorías y ciento catorce controles en su versión anterior, a agrupar sus actuales noventa y tres controles en cuatro categorías (organizacionales, personales, físicos y tecnológicos), acercándose de esta forma a la estructura del Esquema Nacional de Seguridad. Ello supone que algunos controles de su predecesora se han fusionado, otros se han suprimido y algunos otros de nueva creación han sido incorporados en respuesta a las necesidades de un contexto cambiante y en continuo desarrollo. Por ello, a continuación, nos centraremos en explicar los principales cambios y novedades que incorpora la versión 2022 de la norma.Nuevos controles ISO/IEC 27002/2022
Entre los nuevos controles incorporados, destacan los relativos al análisis de las amenazas, la gestión de los servicios Cloud, la reducción de la superficie de exposición y el desarrollo seguro de software. A continuación, se exponen una breve descripción de estos, aludiendo al número de control referenciado en la norma.- Inteligencia de amenazas (control 5.7): alude a la necesidad de recolectar información sobre las amenazas que afectan a los sistemas de información con el objetivo de analizarlas y conocerlas, a fin de aprender de las mismas y prevenirlas.
- Seguridad de la información en el uso de servicios Cloud (control 5.23): establece la necesidad de implementar procesos para la adquisición, uso y gestión de los servicios Cloud.
- Filtrado de web (8.23.): se preocupa por la gestión de acceso a páginas web externas con el objetivo de reducir la exposición de los sistemas a contenido potencialmente malicioso.
- Codificación segura (8.28): fomenta el deber de establecer principios de codificación segura en los procesos de desarrollo de software.
Controles fusionados respecto a la versión anterior
Múltiples elementos y aspectos de la seguridad a los que se hacía referencia en controles separados en la normativa anterior se han fusionado en aras de simplificar su gestión. Aunque un análisis pormenorizado de todos estos cambios supera el alcance de este artículo, a continuación, se ofrecen algunos ejemplos que buscan evidenciar la razón lógica que ha propiciado dicha unificación de controles, en los que se identifican tanto los controles de la versión anterior, cómo el resultado de su fusión:- Los controles para el inventario de activos y propiedad de los activos (8.1.1 y 8.1.2, respectivamente) se unifican bajo un control más amplio denominado 5.9. Inventario de la información y otros activos.
- El control sobre transmisión de la información (5.14.), unifica los anteriormente denominados políticas y procedimientos de intercambio de información (13.2.1), acuerdos de intercambio de información (13.2.2) y mensajería electrónica (13.2.3).
- Entrada física (7.2): unifica los anteriores controles físicos de entrada (11.1.2), y áreas de carga y descarga (11.1.6)
- El actual uso de criptografía (8.24), unifica la política de uso de los controles criptográficos (10.1.1) y la gestión de claves (10.1.2)
Otros cambios significativos
Se ha de destacar el énfasis que hace la nueva norma ISO/IEC 27002/2022 a la gestión de proveedores. En este sentido, se opta por un control mucho más exhaustivo centrado en la totalidad de la cadena de suministro para el análisis de las posibles lagunas de seguridad, reflejándolo en los siguientes controles:- Seguridad de la información en relaciones con proveedores (control 5.19.).
- Seguridad de la información en acuerdos con proveedores (control 5.20.).
- Seguridad de la información en la cadena de suministro TIC (control 5.21.).
- Monitorización, revisión y cambio de la gestión en servicios de proveedores (control 5.22.).