7 - ISO 27001 2022 Cuáles son los cambios

Vista previa del material en texto

ISO 27001:2022
¿Cuales son los cambios?
Actualización de Normas Serie 27000
Carlos Lobos de Medina
Director de Diplomados de Ciberseguridad
1. Acerca de ISO 27001
2. Cambios en la nueva revisión
Agenda
Actualización de Normas ISO 27000
Acerca de ISO 27001
International Organization for Standardization - ISO
▪ La Organización Internacional para la Estandarización es una organización
independiente, no gubernamental con presencia en 164 países.
▪ En base a 784 comités técnicos y subcomité desarrollan buenas prácticas para soportar
la innovación y provee de soluciones para los desafíos globales.
▪ Es conocida por la estandarización de normas y buenas prácticas en las más amplias
materias y alcances.
▪ Las normas se crean en base a las necesidades globales, pudiendo estas ser una
estandarización de buenas prácticas existentes, una actualización de estas o algo
totalmente nuevo.
▪ El acrónimo ISO proviene del vocablo griego ISO, el cual significa igual.
Proceso de creación de una norma
▪ https://www.iso.org/stages-and-
resources-for-standards-
development.html
https://www.iso.org/stages-and-resources-for-standards-development.html
https://www.iso.org/stages-and-resources-for-standards-development.html
https://www.iso.org/stages-and-resources-for-standards-development.html
Evolución de las normas ISO 27001 e ISO 27002
Fuente: advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002
advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002
Un poco de números
A nivel global ISO 27.001 en LATAM+España
¿Por que contar con un SGSI basado en ISO 270001?
1. Es simple de implementar un Sistema de Gestión, la Gestión de Riesgos y Controles
de Seguridad de la Información.
2. Provee de un modelo de procesos altamente estandarizados
3. Provee de una linea base de controles de alto valor
4. Se alinea a otros Sistemas de Gestión (Calidad, Servicios, Continuidad, Privacidad)
5. Contiene principios simples y valiosos (Mejora Continua, PDCA, Riesgos)
6. Numerosas recomendaciones, extensiones y directrices en la familia 27K.
7. Puede ser certificada, en algunos países y sectores industriales es un requisito.
8. Muchos otros estándares se inspiran, referencian o han sido creados usando ISO
27001
Una metodología basada en mejores prácticas 
que posibilita la implementación de un SGSI
¿Que ofrece ISO 27.001?
Planificar
(Plan)
Hacer
(Do)
Verificar
(Check)
Actuar 
(Act)
Visión de Procesos 
alineada al ciclo PDCA
Enfoque de Riesgos
Metodología 
Estandarizada
Controles de Seguridad 
de la Información
Ciclo PDCA
✓ Permite a una organización asegurarse de que sus
procesos cuenten con recursos y se gestionen
adecuadamente.
✓ Posibilita que las oportunidades de mejora se determinen
y se actúe en consecuencia.
✓ La aplicación del enfoque a procesos en un sistema de
gestión permite:
A. La comprensión en el cumplimiento de los
requisitos.
B. La consideración de los procesos integrado.
C. El logro del desempeño eficaz del proceso.
D. La mejora de los procesos con base en la
evaluación de los datos, la información y objetivos.
Procesos de un SGSI – ISO 27.022
Parece que acá ya se complico la cosa!!!
▪ Existen decisiones estratégicas que tomar?
▪ Tenemos que tener políticas de seguridad?
▪ Debemos gestionar nuestros riesgos?
▪ Habrá que controlar los servicios?
▪ Tenemos que capacitar a nuestros RRHH?
▪ Que hacer con las incidencias?
Parece que algunos procesos hay que tener!!!
▪ Si los procesos cambian?
▪ Necesitamos auditar los procesos?
▪ Evaluaremos los procesos?
▪ Será necesario irlos mejorando?
Necesitamos información para todo esto!!!
Visión de Procesos del SGSI
Fuente: Adaptción https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html
https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html
Enfoque de Riesgos
El propósito de un SGSI es tener sus 
riesgos gestionados!!!
Controles de Seguridad de la Información – ISO 27.002:2022
Anexo SL – Estandarización de Sistemas de Gestión
Ecosistema de Normas
ISO 27014
Gobierno de la 
Ciberseguridad
ISO 27701
Gestión de la 
Privacidad
ISO 27033
Seguridad en Redes
ISO 27034
Seguridad en 
Aplicaciones
ISO 27037
Evidencia 
Electrónica
ISO 27.003
Directrices de 
Implementación
ISO 27.004
Indicadores del 
SGSI
ISO 27.022
Procesos del SGSI
Actualización de Normas ISO 27000
Cambios en la nueva revisión
Cambio de Nombre
ISO/IEC 27001:2013
Tecnología de la información -
Técnicas de seguridad
Sistemas de Gestión de la Seguridad de 
la Información - Requisitos 
ISO/IEC 27001:2022
Seguridad de la Información, 
ciberseguridad y protección de la
privacidad
Sistemas de Gestión de la Seguridad de 
la Información - Requisitos 
▪ En estricto rigor, no es un cambio de nombre, lo que cambia es el comité encargado de
su actualización e integración. ISO/IEC JTC 1/SC 27
▪ https://www.iso.org/committee/45306.html
https://www.iso.org/committee/45306.html
Principales cambios
▪ La única clausula nueva es 6.3 Planificación de Cambios
▪ Las clausulas 10.1 y 10.2 intercambian su orden
▪ Cambios en 7 clausulas, agregando, modificando o quitando requisitos
▪ Agrega requisitos en 5
▪ Quita requisitos en 1
▪ Modifica requisitos en 1
Nuevo requisito en las Partes Interesadas
▪ 4.2 Comprensión de las necesidades y
expectativas de las partes interesadas
La organización debe determinar:
a) las partes interesadas que son relevantes para
el sistema de gestión de la seguridad de la
información; y
b) los requisitos de estas partes interesadas que
son relevantes para la seguridad de la
información.
▪ 4.2 Comprensión de las necesidades y
expectativas de las partes interesadas
La organización debe determinar:
a) las partes interesadas que son relevantes para
el sistema de gestión de la seguridad de la
información; y
b) los requisitos de estas partes interesadas que
son relevantes para la seguridad de la
información.
c) cuáles de estos requisitos serán abordados a
través del sistema de gestión de seguridad de
la Información
Nuevo requisito en las Partes Interesadas + Ejemplo
▪ Identificar con claridad los requisitos y establecer
cuales serán abordados mediante el SGSI,
idealmente incorporando Evidencia (Planificación,
documentación u otro elemento relevante)
Mayor foco en los procesos del SGSI
▪ 4.4 Sistema de gestión de la seguridad de la
información
La organización debe establecer, implementar,
mantener y mejorar de manera continua un sistema
de gestión de la seguridad de la información, de
acuerdo con los requisitos de esta norma
internacional.
▪ 4.4 Sistema de gestión de la seguridad de la
información
La organización debe establecer, implementar,
mantener y mejorar de manera continua un sistema
de gestión de la seguridad de la información,
incluyendo los procesos necesarios y sus
interacciones, de acuerdo con los requisitos de esta
norma internacional.
Mayor foco en los procesos del SGSI
▪ Se resuelve con el uso de la ISO 27022?
▪ Totalmente, bajo una perspectiva del SGSI,
siendo esto basal, pero también están los
controles.
▪ Se deben articular las interacciones entre
procesos claves del SGSI y aquellos controles que
llevan a la implementación de procesos.
▪ Cuidado, que la norma en ningún lugar señala
esto, ni lo hace obligatorio, es una buena
práctica.
Rearticulación de Definiciones en los Objetivos
▪ 6.2 Objetivos de seguridad de la información y
planificación para su consecución
▪ La organización debe establecer los objetivos de
seguridad de la información en las funciones y niveles
pertinentes. Los objetivos de seguridad de la
información deben:
a) ser coherentes con la política de seguridad de la
información;
b) ser medibles (si es posible);
c) tener en cuenta los requisitos de seguridad de la
información aplicables y los resultados de la
apreciación y del tratamiento de los riesgos;
d) ser comunicados; y
e) e) ser actualizados, según sea apropiado.
▪ 6.2 Objetivos de seguridad de lainformación y
planificación para su consecución
▪ La organización debe establecer los objetivos de
seguridad de la información en las funciones y niveles
pertinentes. Los objetivos de seguridad de la
información deben:
a) ser coherentes con la política de seguridad de la
información;
b) ser medibles (si es posible);
c) tener en cuenta los requisitos de seguridad de la
información aplicables y los resultados de la
apreciación y del tratamiento de los riesgos;
d) ser monitoreados
e) ser comunicados; y
f) ser actualizados, según sea apropiado.
g) estar disponibles como información documentada
Punto base de referencia ISO 27004
Nueva Clasula: Planificación de Cambios
▪ 6.3 Planificación de cambios
Cuando la organización determina la necesidad por cambios en la seguridad de la información
sistema de gestión, los cambios serán llevado a cabo de manera planificada.
▪ Un elemento clave es la articulación en la etapa de evaluación del SGSI, principalmente en la
revisión por la Dirección, así como en la Mejora Continua de la Organización.
▪ La ISO 27022 posee directrices muy potentes de como implementar este requisito.
Planificación de Cambios ISO 27022
Cambios en las Comunicaciones del SGSI
▪ 7.4 Comunicación
▪ La organización debe determinar la necesidad de
comunicaciones internas y externas pertinentes
al sistema de gestión de la seguridad de la
información, que incluyan:
a) el contenido de la comunicación;
b) cuándo comunicar;
c) a quién comunicar;
d) quién debe comunicar;
e) los procesos por los que debe efectuarse la
comunicación.
▪ 7.4 Comunicación
▪ La organización debe determinar la necesidad de
comunicaciones internas y externas pertinentes
al sistema de gestión de la seguridad de la
información, que incluyan:
a) el contenido de la comunicación;
b) cuándo comunicar;
c) a quién comunicar;
d) como comunicar.
Requisitos en las comunicaciones
Nuevos requerimientos en la Planificación
▪ 8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos
necesarios para cumplir los requisitos de seguridad de la información y
para implementar las acciones determinadas en el apartado 6.1. La
organización debe implementar también planes para alcanzar los
objetivos de seguridad de la información determinados en el apartado
6.2.
En la medida necesaria la organización debe mantener información
documentada, para tener la confianza de que los procesos se han llevado a
cabo según lo planificado.
La organización debe controlar los cambios planificados y revisar las
consecuencias de los cambios no previstos, llevando a cabo acciones para
mitigar los efectos adversos, cuando sea necesario.
La organización debe garantizar que los procesos contratados
externamente estén controlados.
▪ 8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos
necesarios para cumplir los requisitos de seguridad de la información y
para implementar las acciones determinadas en la clausula 6, por:
▪ Estableciendo criterios para los procesos;
▪ Implementando el control de los procesos en acuerdo con los
criterios.
▪ En la medida necesaria la organización debe mantener información
documentada, para tener la confianza de que los procesos se han
llevado a cabo según lo planificado.
▪ La organización debe controlar los cambios planificados y revisar las
consecuencias de los cambios no previstos, llevando a cabo acciones
para mitigar los efectos adversos, cuando sea necesario.
▪ La organización debe garantizar que los procesos contratados
externamente, productos y servicios que son relevantes para el SGSI
son controlados.
Nuevos requerimientos en el Monitoreo
▪ 9.1 Seguimiento, medición, análisis y evaluación
La organización debe conservar la información
documentada adecuada como evidencia de los
resultados.
▪ 9.1 Seguimiento, medición, análisis y evaluación
La información documentada deberá estar
disponible como evidencia de los resultados.
La organización debe evaluar el desempeño de la
seguridad de la información y la efectividad de la
sistema de gestión de la seguridad de la
información.
Nueva Estructura en la Revisión de la Dirección y Auditoría
▪ 9.2 Auditoría interna
▪ 9.3 Revisión por la dirección
▪ 9.2 Auditoría interna
▪ 9.2.1 General
▪ 9.2.2 Programa de auditoría Interna
▪ 9.3 Revisión por la dirección
▪ 9.3.1 General
▪ 9.3.2 Inputs para la Revisión de la Dirección
▪ 9.3.3. Resultados de la Revisión de la Dirección
▪ El único cambio significativo es que agrega en la revision de la dirección, en la 
clasula 9.3.2 la revision de la dirección debería incluir “c) cambios en las 
necesidades y expectativas de las partes interesadas que son relevantes para la 
información sistema de gestión de seguridad; “
Nueva Estructura en la Mejora
ISO/IEC 27001:2013
10.1 No conformidad y acciones 
correctivas 
10.2 Mejora continua 
ISO/IEC 27001:2022
10.1 Mejora continua 
10.2 No conformidad y acciones 
correctivas 
Cambios en el Anexo A
Actualización de Normas ISO 27000
Consultas
Consultas
▪ Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
https://www.linkedin.com/in/clobos/
mailto:carlos.lobos@usach.cl
ISO 27001:2022
¿Cuales son los cambios?
Actualización de Normas Serie 27000
Carlos Lobos de Medina
Director de Diplomados de Ciberseguridad
	Diapositiva 1: ISO 27001:2022 ¿Cuales son los cambios?
	Diapositiva 2: Agenda
	Diapositiva 3: Acerca de ISO 27001
	Diapositiva 4: International Organization for Standardization - ISO
	Diapositiva 5: Proceso de creación de una norma
	Diapositiva 6: Evolución de las normas ISO 27001 e ISO 27002
	Diapositiva 7: Un poco de números
	Diapositiva 8: ¿Por que contar con un SGSI basado en ISO 270001?
	Diapositiva 9: ¿Que ofrece ISO 27.001?
	Diapositiva 10: Ciclo PDCA
	Diapositiva 11: Procesos de un SGSI – ISO 27.022
	Diapositiva 12: Visión de Procesos del SGSI
	Diapositiva 13: Enfoque de Riesgos
	Diapositiva 14: Controles de Seguridad de la Información – ISO 27.002:2022
	Diapositiva 15: Anexo SL – Estandarización de Sistemas de Gestión
	Diapositiva 16: Ecosistema de Normas
	Diapositiva 17: Cambios en la nueva revisión
	Diapositiva 18: Cambio de Nombre
	Diapositiva 19: Principales cambios
	Diapositiva 20: Nuevo requisito en las Partes Interesadas
	Diapositiva 21: Nuevo requisito en las Partes Interesadas + Ejemplo
	Diapositiva 22: Mayor foco en los procesos del SGSI
	Diapositiva 23: Mayor foco en los procesos del SGSI
	Diapositiva 24: Rearticulación de Definiciones en los Objetivos
	Diapositiva 25: Punto base de referencia ISO 27004
	Diapositiva 26: Nueva Clasula: Planificación de Cambios
	Diapositiva 27: Planificación de Cambios ISO 27022
	Diapositiva 28: Cambios en las Comunicaciones del SGSI
	Diapositiva 29: Requisitos en las comunicaciones
	Diapositiva 30: Nuevos requerimientos en la Planificación
	Diapositiva 31: Nuevos requerimientos en el Monitoreo
	Diapositiva 32: Nueva Estructura en la Revisión de la Dirección y Auditoría
	Diapositiva 33: Nueva Estructura en la Mejora
	Diapositiva 34: Cambios en el Anexo A
	Diapositiva 35: Consultas
	Diapositiva 36: Consultas
	Diapositiva 37: ISO 27001:2022 ¿Cuales son los cambios?