La norma ISO 27001 constituye una solución para el mejoramiento continuo que permita el desarrollo de un sistema de gestión de seguridad de la información (SGSI) que hace posible la evaluación de riesgos o amenazas que pueden afectar la información de una entidad o de terceros relacionados.
Cada cierto tiempo esta norma es renovada, es por ello que las mas recientes modificaciones se hicieron realidad en 2013 y 2018. En los meses de octubre y noviembre de 2022 comenzaron a aparecer las primeras noticias sobre las nuevas modificaciones hasta su salida a la luz.
La norma, titulada: “Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información. Requisitos”, que como se ha mencionado antes, ha tenido un perfeccionamiento continuo en el tiempo, es el resultado de la evolución de las necesidades de protección de los sistemas de información.
El documento emitido en 2022 hace un cambio sustancial en su estructura y presentación, aunque mantiene su filosofía al establecer los objetivos a cumplir por una organización para obtener la certificación y poseer un sistema de gestión para la seguridad de la información sólido a partir de la gestión de riesgos y amenazas.
La nueva versión plantea dos nuevos pilares: los temas y los atributos. Los temas se constituyen en la nueva forma de categorizar los controles de seguridad y de cierta manera sustituyen a los dominios plasmados en las ediciones anteriores.
Los atributos por su parte se refieren a la clasificación sustentada en nuevos enfoques que hagan posible el filtrado, ordenamiento o presentación de los controles en correspondencia con la audiencia a la que está dirigida.
La versión de 2022 de la ISO 27001 plantea 4 temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales.
En el apartado de los atributos estos pueden ser vistos desde la óptica del tipo de control, de las propiedades de la seguridad de la información, de los conceptos de ciberseguridad, las capacidades operativas y los dominios de seguridad.
Por el tipo de control, se establece que deben partir perspectivas: la prevención, la detección y la corrección.
Desde la visión de las propiedades de la seguridad de la información el análisis se sustenta en los pilares de esta: confidencialidad, integridad y disponibilidad.
Desde la concepción de la ciberseguridad el proceso sigue la lógica de esta ciencia y por ello se debe valorar desde la identificación, protección, detección, respuesta y recuperación.
Según la óptica de la capacidad operativa el proceso se sustenta en la perspectiva de la seguridad desde la capacidad de profesionales o de los participantes, para ser parte de aspectos como la gobernanza o la seguridad física.
Y desde la mirada de los dominios de la seguridad donde son esenciales, como valores del atributo, aspectos como la gobernanza y ecosistema, la protección, la defensa y la resiliencia, término este último, que ha venido ganando terreno por su importancia, al incluir las cuestiones referentes a la continuidad de operaciones y la gestión de crisis. En este grupo entran al ruedo la gestión de riesgos, arquitectura de las TIC, administración de seguridad de las TIC, mantenimiento de la seguridad de las TIC, lo que complementa este núcleo duro de la operatoria.
El cambio en la norma ISO 27001 reduce a 93 los controles de seguridad, donde 8 tienen que ver con el personal, 14 con la seguridad física, 34 con la tecnología y 37 con factores organizacionales. A esto se suma que los controles. en esta nueva versión, no fijan un resultado esperado, al quedar abiertos a un perfeccionamiento sin limitaciones. Esto representa un cambio sustancial en la visión para el trabajo con el estándar.
Como se puede apreciar el cambio en la norma es sustancial, en especial el hecho de que no fija el nivel que debe ser alcanzado por las organizaciones sino la dirección hacia donde se debe trabajar sin fijar un límite al alcanzar. El “techo” a lograr solo será marcado por la creatividad y la inteligencia dentro de las organizaciones y la experiencia de su capital humano.