Blog

IRM360 B.V. Marcel Lavalette 31 marzo 2022

New ISO 27002:2022

¿Qué significa esto para el CyberManager y la norma ISO 27001?

Desde febrero, se ha desarrollado una nueva ISO/IEC 27002:2022. Nuestros clientes de los Países Bajos nos hacen varias preguntas sobre la nueva ISO. En este blog hablamos de ello:

  1. Nueva norma ISO/IEC 27002:2022
  2. ISO 27001 no es lo mismo que ISO 27002
  3. Auditoría y certificado ISO 27001, Anexo A y SOA
  4. ¿En qué se diferencia la nueva ISO 27002:2022 de la anterior?
  5. ¿Qué tiene que ver la nueva norma ISO 27002 con mi certificación ISO 27001?
  6. ¿Habrá cambios en CyberManager en cuanto a contenido y funcionalidad?

1) Nueva norma ISO/IEC 27002:2022

ISO/IEC 27002:2022 es la sucesora de ISO/IEC 27002:2013. Existe cierta confusión al respecto, ya que en los Países Bajos está disponible como NEN-EN-ISO/IEC 27002:2017. ¿A qué se debe esta diferencia de denominación y año?

La Organización Internacional de Normalización (ISO) elabora normas. Se trata de una asociación de organismos nacionales de normalización de 163 países, como la NEN de los Países Bajos. A nivel internacional, la ISO colabora con la CEI, la Comisión Electrotécnica Internacional, razón por la cual algunas normas llevan la denominación ISO/IEC. NEN es el Instituto de Normalización de los Países Bajos, responsable del registro de normas. La designación EN significa Organismo Europeo de Normalización y se aplica a toda Europa. Los institutos nacionales de normalización, como el NEN, las publican en sus respectivos países. Por tanto, una norma NEN-EN ISO/IEC significa que se trata de una norma internacional que también ha sido aceptada en Europa y también en los Países Bajos por el NEN. A menudo se añade NL para indicar que también está disponible en neerlandés.

Dado que puede transcurrir tiempo entre la traducción y/o la armonización de una norma internacional con la legislación local, puede haber una diferencia de contenido (mínima) y de publicación. Pero, en principio, la norma "nacional" NEN-EN-ISO/IEC 27002:2017 es la misma que la ISO/IEC 27002:2013.

 

2) ISO 27001 no es lo mismo que ISO 27002

ISO 27001 es una norma mundialmente reconocida en el ámbito de la seguridad de la información. El llamado Sistema de Gestión de la Seguridad de la Información, (SGSI) describe la aplicación del proceso para controlar los riesgos de la seguridad de la información. Actualmente sólo es posible certificarse según la norma ISO 27001.
Las versiones actuales vigentes son:

  • ISO/IEC 27001:2013 (internacional) y, de hecho, sigue siendo la norma actual.
  • NEN-EN-ISO/IEC 27001:2017

3) Auditoría y certificado ISO 27001, Anexo A y SOA

Una auditoría ISO 27001 se centra principalmente en la garantía del proceso, el SGSI, pero durante la auditoría también se comprueban las medidas de control descritas en el Anexo A del documento de la norma ISO 27001. El Anexo A es una lista de medidas de control y éstas están tomadas de la norma ISO 27002, incluyendo numeración, capítulos y secciones, pero no son las mismas.  

La norma ISO 27002 va más allá de esta simple lista de medidas de control y proporciona para cada medida de control un análisis más profundo en forma de "Mejores Prácticas" (posiblemente técnicas a aplicar, métodos de trabajo, etc.) para dar contenido a la medida de control.

Es libre de aplicar otras medidas de control (propias o de otras normas como CIS, NIST-CSF, etc.) siempre que demuestre que cumple las medidas de control del anexo A.

Para cada medida de control, debe indicar si es aplicable o no y si se ha aplicado o no. Esto se declara en la denominada Declaración de aplicabilidad (SOA). Esta SOA contiene la referencia a la versión utilizada durante la auditoría de la norma ISO 27001, por ejemplo, EN-EN-ISO/IEC 27001:2017 +A11:2020.

¿Otra indicación "+A11:2020"? Este "+A11" se refiere a los cambios realizados por la NEN y el ":2020" al año en que se realizó el cambio. La NEN utiliza su propia numeración para la misma norma en los Países Bajos, lo que puede resultar confuso. Otros países también pueden utilizar su "propia" numeración diferente.
Espero que siga entendiendo......?

 

4) ¿En qué se diferencia la nueva ISO 27002:2022 de la anterior?

No vamos a entrar en todos los cambios en este blog, pues ya sabemos mucho sobre ellos, sino que vamos a explicar principalmente los problemas con los que tendrán que lidiar nuestros usuarios. 

En la antigua ISO/IEC 27002:2013, cada medida de control (Buena Práctica) constaba de una:

  • Descripción del control
  • Orientaciones de aplicación (buenas prácticas)

La nueva norma ISO/IEC 27002:2022 ya no menciona las "mejores prácticas", sino sólo los controles, que ahora consisten en :

  • Control (medida de control)
  • Propósito
  • Orientación

Además, para cada control se muestra una tabla de atributos (véase el ejemplo a continuación) que puede ayudar a seleccionar (filtrar) medidas de control sobre diversos temas.

Tres tipos de control para elegir cuándo y cómo actuar en caso de incidente de seguridad de la información.

Preventief; el control debe evitar que se produzca un incidente de seguridad de la información,

Detectief; el control se produce cuando ocurre un incidente de seguridad de la información,

Correctief; el control se produce después de que se haya producido un incidente de seguridad de la información.

 

Tres propiedades de la Seguridad de la Información: seleccionar medidas de control desde el punto de vista de las características de la información como: Confidencialidad, Integridad y/o Disponibilidad.

Conceptos de ciberseguridad es un atributo para seleccionar medidas de control desde la perspectiva de los conceptos de ciberseguridad definidos en el marco de ciberseguridad ISO/IEC TS 27110 y en el modelo CSF del NIST: Identificar, Proteger, Detectar, Responder y Recuperar.

Las capacidades operativas son un atributo para seleccionar medidas de gestión desde la perspectiva del propietario o gestor de un área determinada. Los valores del atributo consisten en: Gobernanza, Gestión de Activos, Seguridad de la Información, RRHH, Seguridad Física, Seguridad de Sistemas y Redes, Seguridad de Aplicaciones, Configuración Segura, Gestión de Identidades y Accesos, Gestión de Vulnerabilidades y Amenazas, Continuidad, Gestión de Proveedores, Cumplimiento, Gestión de Incidentes de Seguridad de la Información y Aseguramiento.

Dominios de seguridad es un atributo para seleccionar medidas de gestión desde la perspectiva de cuatro dominios de seguridad de la información: Gobernanza y Ecosistema, Protección, Defensa y Resiliencia.

Todos los atributos descritos anteriormente de la norma ISO 27002 son genéricos y las organizaciones pueden optar por ignorar uno o más de los atributos o crear los suyos propios.

5) ¿Qué tiene que ver la nueva norma ISO 27002 con mi certificación ISO 27001?

De momento, nada; aún no hay una nueva norma ISO 27001 y, por tanto, tampoco un nuevo anexo A. Por supuesto, habrá una, y entonces los Anexos A estarán en consonancia en cuanto a formato y enumeración de la descripción de las medidas de control. La organización NEN espera un Anexo A actualizado para la actual ISO/IEC 27001:2013 en mayo, ¿posiblemente con una designación como +A1:2022? Después de todo, será entonces la primera "enmienda" al nuevo Anexo a partir de 2022. Muchos esperarán a la modificación holandesa NEN-EN ISO/IEC 27001:2017 +A1:2022. Se espera para finales de 2022.

Si ya tiene un certificado, no tiene que hacer nada inmediatamente. Existe un periodo de transición de 2 años aplicable en cuanto esté disponible la nueva norma ISO27001 con el Anexo A actualizado. Si está trabajando en un proyecto de certificación, dependerá de cuándo vaya a realizar la auditoría si puede centrarse mejor en la nueva ISO 27001 y el Anexo A. Hable de ello con su organismo de certificación o socio de implantación, por ejemplo.

 6) ¿Cambiará algo en CyberManager en términos de contenido y funcionalidad?

Lo más probable es que la estructura del nuevo anexo A no sea muy diferente de la del actual anexo A. Así que también un listado de las medidas de gestión pero:

  • El formato se basará en el nuevo Anexo A basado en la norma ISO 27002:2022
    antigua: 14 capítulos y 114 medidas de control
    Nuevo: 4 capítulos (Humano, Técnica, Física y Organización)
  • 93 medidas de gestión en lugar de 114, ¿menos trabajo? Hay 11 nuevas, pero están incluidas en el total de 93. ¿Pero cómo? En la nueva 27002 se han fusionado 114 medidas de control que ya iban mucho juntas, algunas se han quedado igual y una medida se ha dividido para llegar a 82 medidas. La lista completa de diferencias entre la ISO 27002:2013 y la ISO 27002:2022 puede consultarse en el Anexo B de la ISO 27002:2022.

Será familiar para los usuarios de CyberManager que utilizaban el conjunto de medidas de CyberManager. En lugar de los 4 nuevos capítulos y las 82 medidas de gestión fusionadas, el conjunto de medidas de CyberManager ya se basaba en 7 apartados y 71 medidas fusionadas.

Así que entendemos esta nueva ISO 27002:2022, pero sólo fuimos un poco más allá. Por cierto, este conjunto de medidas CyberManager todavía se puede utilizar en la nueva configuración.

En cuanto entre en vigor el nuevo anexo A, se tramitará lo siguiente:

6.1) Adición de la norma ISO/IEC ISO27001:2017 +A1:2022 si se dispone de licencia.

6.2) Proporcionamos una clasificación de medidas diferente

Sustituir las medidas en el capítulo correcto, algunas fusiones y añadir/integrar las nuevas 11 medidas.

Todos los vínculos existentes con controles de otras normas como ISAE 3402, SOC 2, etc. seguirán existiendo. De hecho, nada cambia con respecto a las medidas existentes y fusionadas.  

Nuevas plantillas para las nuevas medidas: En la nueva ISO 27002 se han añadido nuevas medidas de control que, por tanto, también deben añadirse o integrarse en el conjunto de medidas:

- Información sobre amenazas (cl. 5.7)

- Seguridad de la información para el uso de servicios en nube (cl. 5.23)

- Preparación de las TIC para la continuidad de las actividades (cl. 5.30)

- Supervisión de la seguridad física (cl. 7.4) Gestión de la configuración (cl. 8.9)  

- Supresión de información (cl. 8.10) 

- Enmascaramiento de datos (cl. 8.11) 

- Prevención de la fuga de datos (cl. 8.12) 

- Actividades de control (cl. 8.16) 

- Filtrado web (cl. 8.23) 

- Codificación segura (cl. 8.28)

Debe implementar estas nuevas medidas de control independientemente de si está utilizando la "antigua" ISO 27002:2017, el conjunto de medidas de CyberManager u otro conjunto como la antigua ISO 27002.

¿Una trampa?

La norma ISO 27002:2022 incluye una tabla de referencia para seguir las "antiguas" medidas de control hasta las nuevas. El texto de algunas de las medidas de control se ha modificado, en parte debido a la fusión (en cuyo caso no hay muchos cambios en cuanto al contenido), pero el texto también puede modificarse. En el caso de algunas de las medidas de control cuyas mejores prácticas se han incluido ahora como directrices de aplicación, también se ha modificado el contenido de la medida de control y, por consiguiente, también el anexo A.

Por supuesto, se lo indicaremos a su debido tiempo, pero tendrá que comprobar si sus medidas actuales siguen siendo adecuadas.

6.3) ¿Y en términos de funcionalidad?

El proceso de selección de medidas para generar propuestas de medidas (línea de base) en CyberManager ya es ampliamente compatible con el uso de estos atributos. 

El sistema ya ofrece posibilidades para trabajar con selecciones (atributos) como Tipos de control, pero aún no se ha aplicado un tipo detectable.

Ya se han implantado funciones de seguridad de la información.

Los conceptos de ciberseguridad y los dominios de seguridad ya se aplican como atributos de nivel de seguridad para la BIO (niveles BBN1, BBN2 y BBN3) y conceptos de ciberseguridad para el control CIS y el NIST CSF.

El atributo "Capacidades operativas" en CyberManager está parcialmente cubierto por tipos de proceso/organización y/o recursos.

La nueva ISO 27002:2022 no aporta grandes cambios, pero cuando sea necesario, la complementaremos para que la alineación con ISO27002:2020 sea lo más óptima posible para los clientes que deseen utilizarla.

 

Para mayor comodidad de este blog, se han traducido algunas cuestiones de la norma ISO/IEC 27002:2022
pero le aconsejamos que espere a la traducción oficial al neerlandés de las nuevas normas.
Fuentes:
Información facilitada por la NEN durante el seminario web de febrero,
la norma ISO/IEC 27002:2022, el sitio web NEN, el sitio web ISO.org y nuestro organismo de certificación. 

¿Preguntas?

Podemos imaginar que podría tener algunas preguntas o que le gustaría coordinar asuntos con nosotros de antemano con respecto a esta ISO 27002:2022, entonces, por supuesto, estaremos encantados de ayudarle.

¿Desea obtener más información sobre la norma ISO 27001 u otras certificaciones que puedan ser de interés para su organización y sobre cómo puede ayudarle CyberMager?

Estaremos encantados de ponernos en contacto con usted para informarle y ofrecerle oportunidades.

Envíe un correo a: sales@irm360.nl o rellene el formulario de contacto aquí o póngase en contacto con su socio