The 2022 version of the information security management systems (ISMS) standard enables companies to improve understanding of current risk picture and implement necessary security control.
La seguridad de la información es un tema cada vez más presente en las agendas de la mayoría de las empresas. Entre la creciente adopción de la nube y las tecnologías de automatización, la inteligencia artificial, la ciberseguridad, la privacidad, el malware y el ransomware, las empresas se ven obligadas a hacer frente a nuevos escenarios. Esto significa reevaluar su panorama actual de riesgos y gestionar las nuevas amenazas de forma activa y estructurada.
La versión anterior de la norma salió en 2013. Mucho ha cambiado en el mundo desde entonces. La nueva versión es muy bienvenida, ya que proporciona los controles de seguridad necesarios y orientación para ayudar a las empresas a generar confianza en la forma en que están trabajando para proteger los activos críticos del negocio", dice Nanda Kumar Shamanna, responsable global de servicios TIC en Business Assurance, DNV.
Principales cambios en la versión de 2022
Los cambios están relacionados principalmente con los controles de seguridad de la información del anexo A, anticipados por la publicación de ISO/IEC 27002:2022 en febrero. Se han añadido 11 nuevos controles de seguridad, se han actualizado 58 y se han fusionado 24 para reflejar los nuevos escenarios a los que se enfrentan las empresas. Se ha renovado el lenguaje de los controles y se han actualizado las orientaciones de la norma ISO/IEC 27002 para ayudar a las empresas a gestionar los riesgos, asegurarse de que no se pasa nada por alto y hacer el debido seguimiento. Además de los cambios en los controles, ISO/IEC 27001 también se ha alineado con las últimas actualizaciones de la Estructura de Alto Nivel (HLS) de ISO. Sin embargo, estos cambios se consideran menores, ya que la edición de 2013 fue una de las primeras normas en adoptar la HLS.
Las principales áreas del sistema de gestión que se ven afectadas son el liderazgo, la seguridad corporativa, la función informática y otras funciones de apoyo. En el caso de los proveedores de servicios, la prestación también se ve afectada.
“La nueva versión permite una gestión más eficaz del riesgo gracias a los controles de seguridad actualizados. Proporciona un enfoque estructurado para que las empresas reevalúen su actual panorama de riesgos y restablezcan los controles de seguridad", afirma Nanda Kumar Shamanna.
El plazo de transición se ha fijado en 3 años, lo que significa que los certificados existentes deben pasar a la nueva versión antes de noviembre de 2025.