La norma ISO 27001:2022 proporciona un marco para la implantación de un sistema de gestión de la seguridad de la información, la ciberseguridad y la privacidad y fue actualizada en 2022. Puede que haya causado menos revuelo en el mundo cibernético y que interese más a los que están certificados o en proceso de certificación, pero al igual que su hermana pequeña, la 27001 2022 se ha publicado recientemente… ¿Revolución o no? Descubra las novedades
Al abrir la norma, no hay nada revolucionario en la superficie. Sin #hashtag, un número de páginas casi equivalente, un resumen que parece idéntico, ¿nos seguiría haciendo pagar ISO en 2017 por una norma sin cambios?
¡ Sí y no !
En una inspección más cercana, los pequeños ajustes (11 en número, al igual que el número de nuevos requisitos 27002) parecen insignificantes. Sin embargo, la norma ISO 27001:2022 contiene algunas novedades interesantes.
ISO 27001: 2022: ¡empieza por el título!
Atrás queda la visión técnica y tecnológica y se ha cambiado el título por el de Ciberseguridad y privacidad, para marcar la pauta y centrarse en los riesgos y preocupaciones del momento. ¿Es más fácil tranquilizar a la dirección e implicar a los comités de gestión?
Se destacan los procesos y la mejora continua.
Una vez más, se han añadido algunas palabras (en §4.4) y se ha invertido un capítulo (§10) que pueden parecer poco importantes y, sin embargo, son dos mensajes fuertes que hay que abordar:
- El enfoque por procesos, bastante heredado de la calidad y poco enfatizado, toma todo su sentido, se convierte en central e inseparable del SGSI.
- La mejora continua prevalece sobre las auditorías y da toda su importancia a esta noción, muy querida por esta norma, que encontrará sus detractores, porque sí se puede estar certificado sin estar a la última, pero conocer los propios riesgos y las áreas de progreso es igual de importante.
¡Habrá que ocuparse de los interesados!
Estas 2 nuevas características (§4.2 & §9.3), sólo por esta noción, es difícil fingir que no existen. A menudo olvidadas e ignoradas en el SGSI, preferimos centrarnos en la actividad principal, sus necesidades deberán tenerse debidamente en cuenta y sobre todo verificarse durante las revisiones de la gestión. A sus encuestas o cualquier otro medio de retroalimentación de satisfacción.
Aún más eficacia
Este término ya estaba presente en cierta medida en la versión de 2013, pero se le ha dado un nuevo lugar en la sección de control (§9.1), reforzando el hecho de que esta noción debe ser evaluada después de que la acción haya sido implementada. El debate entre eficacia y eficiencia se mantendrá, ¡a su nivel!
¡La C de la P!
La modificación más importante en términos de número de palabras (§8.1), desde el momento en que definimos nuestras acciones durante la fase de Plan, ya debemos pensar en la fase de Comprobación identificando los criterios y adaptándolos (al igual que con la gestión basada en riesgos, no realizamos comprobaciones por comprobar).
Esto supone otro añadido importante que se hace eco de la 27002 y su nuevo requisito Cloud, especificando que todo lo externo al SGSI debe ser controlado. Y esto ya no sólo incluye los procesos externalizados, sino también los productos y servicios. Se acabó decir estoy en aaS y delego responsabilidades, vas a tener que ir a comprobar que cumplen tus requisitos.
Pero también…
… la importancia del plan de acción (§6.2) que debe ser controlado (también) y compartido. Se acabó la gestión del SGSI basada en una sola persona, nunca se repetirá bastante, un SGSI necesita la participación de todos los actores que lo componen.
… los cambios también son importantes (§6.3): ya no es un descuido ni una necesidad de precisión, pero parece lógico que el SGSI se adapte al cambio de organización y no permanezca fijo en el tiempo.
… no hay que descuidar la comunicación (§7.4): de nuevo, sólo un cambio textual, pero que pone de relieve precisamente cómo se comunica dentro de la CMSI, siendo la imaginación (y los canales oficiales) el único límite.
Y, por último, una sutil añadido en el primer párrafo (para aquellos que están acostumbrados a empezar por el 4, que es el certificador, les enseñará a leer desde el principio), establece que está prohibido excluir cualquier requisito de esta norma (excepto el anexo, por supuesto) si se quiere reclamar la certificación. Sea cual sea el alcance de su SGSI, ¡todo es importante!
¿Cómo cambia la norma ISO 27001: 2022 de cara al coaching de cibercumplimiento de Advens?
En realidad, no mucho, ya que las nuevas características de la norma ISO 27001: 2022 confirman nuestro enfoque histórico del cumplimiento de la norma ISO. El enfoque por procesos y la mejora continua ya eran dos de nuestros 4 pilares, junto con la gestión de riesgos y el compromiso de la dirección.
Nuestro SGSI ya era un reflejo del negocio y la organización, por lo que puede adaptarse a cualquier cambio (y de hecho, a menudo tenemos reorganizaciones en medio de la construcción del SGSI, sin impacto).
La gestión por controles y la eficacia ya se tenían en cuenta. Sólo habrá que estudiar las aclaraciones hechas sobre las partes interesadas, porque no siempre es fácil recoger su opinión, pero como siempre, sabremos adaptarnos y ser una fuerza de propuesta e innovación.
¡Y este ha sido el núcleo de nuestra oferta de Cyber Compliance desde el principio! La Ciberseguridad y la Privacidad son nuestras fuerzas motrices, basadas en la tecnología, las auditorías y la gobernanza.
Por supuesto, ya estamos teniendo en cuenta todos estos nuevos desarrollos, al igual que ya hemos tenido en cuenta los nuevos desarrollos de 27002, ¡para ofrecer SGSI conformes, pero, sobre todo, adaptados y pragmáticos! ¡ISO 27001: 2022 ya está disponible en Advens!