Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
ISO 27001:2022 ¿Cuales son los cambios? Actualización de Normas Serie 27000 Carlos Lobos de Medina Director de Diplomados de Ciberseguridad 1. Acerca de ISO 27001 2. Cambios en la nueva revisión Agenda Actualización de Normas ISO 27000 Acerca de ISO 27001 International Organization for Standardization - ISO ▪ La Organización Internacional para la Estandarización es una organización independiente, no gubernamental con presencia en 164 países. ▪ En base a 784 comités técnicos y subcomité desarrollan buenas prácticas para soportar la innovación y provee de soluciones para los desafíos globales. ▪ Es conocida por la estandarización de normas y buenas prácticas en las más amplias materias y alcances. ▪ Las normas se crean en base a las necesidades globales, pudiendo estas ser una estandarización de buenas prácticas existentes, una actualización de estas o algo totalmente nuevo. ▪ El acrónimo ISO proviene del vocablo griego ISO, el cual significa igual. Proceso de creación de una norma ▪ https://www.iso.org/stages-and- resources-for-standards- development.html https://www.iso.org/stages-and-resources-for-standards-development.html https://www.iso.org/stages-and-resources-for-standards-development.html https://www.iso.org/stages-and-resources-for-standards-development.html Evolución de las normas ISO 27001 e ISO 27002 Fuente: advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002 advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002 Un poco de números A nivel global ISO 27.001 en LATAM+España ¿Por que contar con un SGSI basado en ISO 270001? 1. Es simple de implementar un Sistema de Gestión, la Gestión de Riesgos y Controles de Seguridad de la Información. 2. Provee de un modelo de procesos altamente estandarizados 3. Provee de una linea base de controles de alto valor 4. Se alinea a otros Sistemas de Gestión (Calidad, Servicios, Continuidad, Privacidad) 5. Contiene principios simples y valiosos (Mejora Continua, PDCA, Riesgos) 6. Numerosas recomendaciones, extensiones y directrices en la familia 27K. 7. Puede ser certificada, en algunos países y sectores industriales es un requisito. 8. Muchos otros estándares se inspiran, referencian o han sido creados usando ISO 27001 Una metodología basada en mejores prácticas que posibilita la implementación de un SGSI ¿Que ofrece ISO 27.001? Planificar (Plan) Hacer (Do) Verificar (Check) Actuar (Act) Visión de Procesos alineada al ciclo PDCA Enfoque de Riesgos Metodología Estandarizada Controles de Seguridad de la Información Ciclo PDCA ✓ Permite a una organización asegurarse de que sus procesos cuenten con recursos y se gestionen adecuadamente. ✓ Posibilita que las oportunidades de mejora se determinen y se actúe en consecuencia. ✓ La aplicación del enfoque a procesos en un sistema de gestión permite: A. La comprensión en el cumplimiento de los requisitos. B. La consideración de los procesos integrado. C. El logro del desempeño eficaz del proceso. D. La mejora de los procesos con base en la evaluación de los datos, la información y objetivos. Procesos de un SGSI – ISO 27.022 Parece que acá ya se complico la cosa!!! ▪ Existen decisiones estratégicas que tomar? ▪ Tenemos que tener políticas de seguridad? ▪ Debemos gestionar nuestros riesgos? ▪ Habrá que controlar los servicios? ▪ Tenemos que capacitar a nuestros RRHH? ▪ Que hacer con las incidencias? Parece que algunos procesos hay que tener!!! ▪ Si los procesos cambian? ▪ Necesitamos auditar los procesos? ▪ Evaluaremos los procesos? ▪ Será necesario irlos mejorando? Necesitamos información para todo esto!!! Visión de Procesos del SGSI Fuente: Adaptción https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html Enfoque de Riesgos El propósito de un SGSI es tener sus riesgos gestionados!!! Controles de Seguridad de la Información – ISO 27.002:2022 Anexo SL – Estandarización de Sistemas de Gestión Ecosistema de Normas ISO 27014 Gobierno de la Ciberseguridad ISO 27701 Gestión de la Privacidad ISO 27033 Seguridad en Redes ISO 27034 Seguridad en Aplicaciones ISO 27037 Evidencia Electrónica ISO 27.003 Directrices de Implementación ISO 27.004 Indicadores del SGSI ISO 27.022 Procesos del SGSI Actualización de Normas ISO 27000 Cambios en la nueva revisión Cambio de Nombre ISO/IEC 27001:2013 Tecnología de la información - Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información - Requisitos ISO/IEC 27001:2022 Seguridad de la Información, ciberseguridad y protección de la privacidad Sistemas de Gestión de la Seguridad de la Información - Requisitos ▪ En estricto rigor, no es un cambio de nombre, lo que cambia es el comité encargado de su actualización e integración. ISO/IEC JTC 1/SC 27 ▪ https://www.iso.org/committee/45306.html https://www.iso.org/committee/45306.html Principales cambios ▪ La única clausula nueva es 6.3 Planificación de Cambios ▪ Las clausulas 10.1 y 10.2 intercambian su orden ▪ Cambios en 7 clausulas, agregando, modificando o quitando requisitos ▪ Agrega requisitos en 5 ▪ Quita requisitos en 1 ▪ Modifica requisitos en 1 Nuevo requisito en las Partes Interesadas ▪ 4.2 Comprensión de las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la información; y b) los requisitos de estas partes interesadas que son relevantes para la seguridad de la información. ▪ 4.2 Comprensión de las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la información; y b) los requisitos de estas partes interesadas que son relevantes para la seguridad de la información. c) cuáles de estos requisitos serán abordados a través del sistema de gestión de seguridad de la Información Nuevo requisito en las Partes Interesadas + Ejemplo ▪ Identificar con claridad los requisitos y establecer cuales serán abordados mediante el SGSI, idealmente incorporando Evidencia (Planificación, documentación u otro elemento relevante) Mayor foco en los procesos del SGSI ▪ 4.4 Sistema de gestión de la seguridad de la información La organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información, de acuerdo con los requisitos de esta norma internacional. ▪ 4.4 Sistema de gestión de la seguridad de la información La organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta norma internacional. Mayor foco en los procesos del SGSI ▪ Se resuelve con el uso de la ISO 27022? ▪ Totalmente, bajo una perspectiva del SGSI, siendo esto basal, pero también están los controles. ▪ Se deben articular las interacciones entre procesos claves del SGSI y aquellos controles que llevan a la implementación de procesos. ▪ Cuidado, que la norma en ningún lugar señala esto, ni lo hace obligatorio, es una buena práctica. Rearticulación de Definiciones en los Objetivos ▪ 6.2 Objetivos de seguridad de la información y planificación para su consecución ▪ La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de la información deben: a) ser coherentes con la política de seguridad de la información; b) ser medibles (si es posible); c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos; d) ser comunicados; y e) e) ser actualizados, según sea apropiado. ▪ 6.2 Objetivos de seguridad de lainformación y planificación para su consecución ▪ La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de la información deben: a) ser coherentes con la política de seguridad de la información; b) ser medibles (si es posible); c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos; d) ser monitoreados e) ser comunicados; y f) ser actualizados, según sea apropiado. g) estar disponibles como información documentada Punto base de referencia ISO 27004 Nueva Clasula: Planificación de Cambios ▪ 6.3 Planificación de cambios Cuando la organización determina la necesidad por cambios en la seguridad de la información sistema de gestión, los cambios serán llevado a cabo de manera planificada. ▪ Un elemento clave es la articulación en la etapa de evaluación del SGSI, principalmente en la revisión por la Dirección, así como en la Mejora Continua de la Organización. ▪ La ISO 27022 posee directrices muy potentes de como implementar este requisito. Planificación de Cambios ISO 27022 Cambios en las Comunicaciones del SGSI ▪ 7.4 Comunicación ▪ La organización debe determinar la necesidad de comunicaciones internas y externas pertinentes al sistema de gestión de la seguridad de la información, que incluyan: a) el contenido de la comunicación; b) cuándo comunicar; c) a quién comunicar; d) quién debe comunicar; e) los procesos por los que debe efectuarse la comunicación. ▪ 7.4 Comunicación ▪ La organización debe determinar la necesidad de comunicaciones internas y externas pertinentes al sistema de gestión de la seguridad de la información, que incluyan: a) el contenido de la comunicación; b) cuándo comunicar; c) a quién comunicar; d) como comunicar. Requisitos en las comunicaciones Nuevos requerimientos en la Planificación ▪ 8.1 Planificación y control operacional La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para implementar las acciones determinadas en el apartado 6.1. La organización debe implementar también planes para alcanzar los objetivos de seguridad de la información determinados en el apartado 6.2. En la medida necesaria la organización debe mantener información documentada, para tener la confianza de que los procesos se han llevado a cabo según lo planificado. La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario. La organización debe garantizar que los procesos contratados externamente estén controlados. ▪ 8.1 Planificación y control operacional La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para implementar las acciones determinadas en la clausula 6, por: ▪ Estableciendo criterios para los procesos; ▪ Implementando el control de los procesos en acuerdo con los criterios. ▪ En la medida necesaria la organización debe mantener información documentada, para tener la confianza de que los procesos se han llevado a cabo según lo planificado. ▪ La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario. ▪ La organización debe garantizar que los procesos contratados externamente, productos y servicios que son relevantes para el SGSI son controlados. Nuevos requerimientos en el Monitoreo ▪ 9.1 Seguimiento, medición, análisis y evaluación La organización debe conservar la información documentada adecuada como evidencia de los resultados. ▪ 9.1 Seguimiento, medición, análisis y evaluación La información documentada deberá estar disponible como evidencia de los resultados. La organización debe evaluar el desempeño de la seguridad de la información y la efectividad de la sistema de gestión de la seguridad de la información. Nueva Estructura en la Revisión de la Dirección y Auditoría ▪ 9.2 Auditoría interna ▪ 9.3 Revisión por la dirección ▪ 9.2 Auditoría interna ▪ 9.2.1 General ▪ 9.2.2 Programa de auditoría Interna ▪ 9.3 Revisión por la dirección ▪ 9.3.1 General ▪ 9.3.2 Inputs para la Revisión de la Dirección ▪ 9.3.3. Resultados de la Revisión de la Dirección ▪ El único cambio significativo es que agrega en la revision de la dirección, en la clasula 9.3.2 la revision de la dirección debería incluir “c) cambios en las necesidades y expectativas de las partes interesadas que son relevantes para la información sistema de gestión de seguridad; “ Nueva Estructura en la Mejora ISO/IEC 27001:2013 10.1 No conformidad y acciones correctivas 10.2 Mejora continua ISO/IEC 27001:2022 10.1 Mejora continua 10.2 No conformidad y acciones correctivas Cambios en el Anexo A Actualización de Normas ISO 27000 Consultas Consultas ▪ Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl https://www.linkedin.com/in/clobos/ mailto:carlos.lobos@usach.cl ISO 27001:2022 ¿Cuales son los cambios? Actualización de Normas Serie 27000 Carlos Lobos de Medina Director de Diplomados de Ciberseguridad Diapositiva 1: ISO 27001:2022 ¿Cuales son los cambios? Diapositiva 2: Agenda Diapositiva 3: Acerca de ISO 27001 Diapositiva 4: International Organization for Standardization - ISO Diapositiva 5: Proceso de creación de una norma Diapositiva 6: Evolución de las normas ISO 27001 e ISO 27002 Diapositiva 7: Un poco de números Diapositiva 8: ¿Por que contar con un SGSI basado en ISO 270001? Diapositiva 9: ¿Que ofrece ISO 27.001? Diapositiva 10: Ciclo PDCA Diapositiva 11: Procesos de un SGSI – ISO 27.022 Diapositiva 12: Visión de Procesos del SGSI Diapositiva 13: Enfoque de Riesgos Diapositiva 14: Controles de Seguridad de la Información – ISO 27.002:2022 Diapositiva 15: Anexo SL – Estandarización de Sistemas de Gestión Diapositiva 16: Ecosistema de Normas Diapositiva 17: Cambios en la nueva revisión Diapositiva 18: Cambio de Nombre Diapositiva 19: Principales cambios Diapositiva 20: Nuevo requisito en las Partes Interesadas Diapositiva 21: Nuevo requisito en las Partes Interesadas + Ejemplo Diapositiva 22: Mayor foco en los procesos del SGSI Diapositiva 23: Mayor foco en los procesos del SGSI Diapositiva 24: Rearticulación de Definiciones en los Objetivos Diapositiva 25: Punto base de referencia ISO 27004 Diapositiva 26: Nueva Clasula: Planificación de Cambios Diapositiva 27: Planificación de Cambios ISO 27022 Diapositiva 28: Cambios en las Comunicaciones del SGSI Diapositiva 29: Requisitos en las comunicaciones Diapositiva 30: Nuevos requerimientos en la Planificación Diapositiva 31: Nuevos requerimientos en el Monitoreo Diapositiva 32: Nueva Estructura en la Revisión de la Dirección y Auditoría Diapositiva 33: Nueva Estructura en la Mejora Diapositiva 34: Cambios en el Anexo A Diapositiva 35: Consultas Diapositiva 36: Consultas Diapositiva 37: ISO 27001:2022 ¿Cuales son los cambios?
Compartir