Novedades de ISO 27001:2022 para empresas ya certificadas

La actualización de la norma ISO 27001 a la versión 2022 trae cambios importantes enfocados en la gestión eficaz de la seguridad de la información. Estos incluyen nuevos controles relacionados con la inteligencia de amenazas, seguridad en servicios cloud, privacidad y protección de datos personales, teletrabajo y desarrollo seguro de software. Analizar claramente estas novedades es fundamental para aquellas organizaciones que ya han certificado versiones anteriores y desean una transición efectiva y práctica hacia la nueva ISO 27001:2022.

¿Qué cambios relevantes introduce ISO 27001:2022?

La versión 2022 prioriza nuevas áreas clave:

• Inteligencia de amenazas: Las organizaciones tendrán que realizar investigaciones constantes sobre las ciberamenazas.
• Seguridad para servicios cloud: Destaca la importancia del hardening en plataformas como AWS, GCP o Azure para proteger datos en la nube.
• Privacidad y protección de PAI: Se concreta un control específico para proteger la información que permite identificar a personas (PAI).
• Teletrabajo seguro: Incorpora buenas prácticas dirigidas a cuidar la información manejada fuera de las oficinas físicas.
• Ciclo de vida seguro del software: Establece la necesidad de aplicar controles dentro del desarrollo del software.
• Enmascaramiento de datos: La ofuscación es una prioridad para cuidar información sensible y dificultar accesos no autorizados.

Además, la gestión de riesgos adquiere más protagonismo, centrando esfuerzos en la identificación, análisis y tratamiento constante de nuevos riesgos hasta eliminarlos o reducirlos considerablemente. También se incrementa la responsabilidad directa del rol directivo y se enfatiza el control sobre la cadena de suministro tecnológica.

¿Cómo realizar una transición práctica hacia ISO 27001:2022?

Para llevar a cabo eficazmente la transición se proponen las siguientes acciones específicas:

1. Realizar análisis GAP: Compara las versiones anteriores de ISO 27001 con la versión actual utilizando la lista de chequeo proporcionada.
2. Revisar documentación requerida: Evaluar políticas, metodologías de riesgo y aplicabilidad de controles respecto a los nuevos requisitos.
3. Sensibilizar al equipo responsable: Implementar paulatinamente las novedades y retos evitando acciones invasivas.
4. Seleccionar una entidad certificadora experimentada: Encontrar un aliado estratégico reconocido en tu país que audite y valide el cumplimiento adecuado de tus esfuerzos.

La metodología propuesta facilita una transición más relajada y efectiva hacia la normativa actualizada, aprovechando recursos como el mapeo de controles que te permite correlacionar fácilmente requisitos anteriores con los actuales.