ICS Certificación

Claves para la transición de ISO/IEC 27001

En el momento en que este artículo se publica, las organizaciones certificadas en ISO/IEC 27001 que aún no han finalizado su proceso de transición a la versión de 2023 se encuentran en un momento crítico. Para ayudar en este proceso y con el fin de aclarar algunas dudas, hemos querido desarrollar este texto.

¿Cuánto tiempo tengo para hacer la transición?

El periodo de transición para 27001 es el mismo que se ha otorgado previamente, es decir de 3 años. Ya que la nueva versión se publicó el 25 de octubre de 2022 la fecha límite es el 25 de octubre de 2025. Sin embargo, este es el plazo máximo en el que el certificado debe haberse emitido. Dado que el proceso de certificación no consiste únicamente en la realización de la propia auditoría, sino que las entidades y clientes deben asumir cierta carga de trabajo posteriormente, es necesario comenzar el proceso lo antes posible. Nuestra recomendación es realizar la auditoría de transición al menos 4 meses antes de la finalización del plazo definitivo, esto es, no más tarde de junio de 2025.

¿Es posible realizar una auditoría de transición fuera del ciclo normal?

Sí, puede solicitarse realizar una auditoría extraordinaria cuyo único objetivo sea el de verificar que el SGSI implantado por la organización sea conforme a la nueva versión del estándar. Así, en esta auditoría únicamente se verificará el cumplimiento con los nuevos requisitos y controles de la versión de 2023. Esta auditoría debe tener una duración de al menos una jornada.

¿Existen grandes diferencias entre la versión de 2014 y la versión de 2023?

Esto es algo que cada organización debe evaluar por sí misma, ya que aunque los requisitos son los mismos para todas, la implantación y por tanto el trabajo a realizar como parte de esta transición puede llegar a ser muy distinto en cada caso.

Observando únicamente los requisitos en sí mismos, en lo que al SGSI en sí mismo se refiere, apenas existen cambios y lo más probable es que la organización apenas tenga que realizar esfuerzos para adaptarse a la nueva versión, especialmente si su SGSI está integrado con otros sistemas de gestión.

La mayor diferencia se encuentra en el anexo A, ya que pasamos de 114 controles distribuidos en 14 dominios a 93 controles divididos en 4 dominios. Lo que en un principio puede parecer una reducción del grado de exigencia de la norma o una simplificación no es tal. En realidad, varios de los antiguos controles se han fusionado entre sí, lo que ha reducido el conteo de controles sin que se reduzca el grado de exigencia. Esta fusión y los cambios en la redacción de otros controles hace que sea necesario considerar pequeñas modificaciones de enfoque, ya que los controles puede que ahora incluyan pequeños matices diferentes que generen cambios en la implantación práctica de las medidas de seguridad. Adicionalmente se incluyen 11 controles completamente nuevos:

5.7. Inteligencia de amenazas

5.23. Seguridad de la información para el uso de servicios en la nube

5.30. Preparación para las TIC para la continuidad del negocio

7.4. Monitorización de la seguridad física

8.9. Gestión de la configuración

8.10. Eliminación de la información

8.11. Enmascaramiento de datos

8.12. Prevención de fugas de información

8.16. Seguimiento de actividades

8.23. Filtrado de webs

8.28. Codificación segura

¿Es posible realizar la transición manteniendo únicamente los controles de la versión de 2014?

Sí, aunque no lo recomendamos. Las nuevas reglas de certificación establecidas por la nueva versión de ISO/IEC 27006 explicitan que el anexo A es una referencia y que las medidas de seguridad pueden implantarse siguiendo las fuentes de controles o documentos que la organización considere más adecuados. Sin embargo, el nuevo listado de controles da respuesta a las amenazas reales que actualmente afrontan las organizaciones y por tanto, seguir el antiguo anexo A puede provocar que omitamos medidas de seguridad importantes.

¿Puedo obtener una certificación ISO/IEC 270001 implantado las medidas del ENS en lugar de las del anexo A?

Sí, siempre y cuando las medidas seleccionadas del anexo II del ENS den una adecuada respuesta a las amenazas que afronta la organización.

El anexo A ya no contiene objetivos de control ¿Cómo debo interpretar ahora los requisitos de los controles?

Es cierto que los objetivos de control ya no son mencionados, sin embargo, sí que tenemos una primera forma de comprender la naturaleza de los controles en base al dominio en el que se encuentran.

Por otro lado ISO/IEC 27002 introduce por primera vez el concepto de «atributo», asigna es decir, una serie de descriptores que aclara el enfoque del control. Estos atributos se agrupan en:

  • Tipo de control
  • Dimensiones de seguridad de la información
  • Conceptos de ciberseguridad
  • Capacidades operativas
  • Dominios de seguridad

El conjunto de toda esta información aporta un grado de conocimiento intrínseco de los controles mucho más detallado que los antiguos objetivos de control.

¿Qué sucede si tengo mi SGSI integrado con ISO/IEC 27701 u otras normas que se referencian el anexo A?

Hasta que no se publiquen nuevas versiones de estas normas adaptadas a la nueva versión de 2023, formalmente se debe seguir manteniendo las referencias de la antigua versión de ISO/IEC 27001. Sin embargo ISO/IEC 27002 en su anexo B, incluye tablas de referencia que identifican claramente las correspondencia entre los controles antiguos y nuevos. Haciendo uso de esta tabla es fácil hacer convivir ambas referencias sin afectar negativamente a la implantación de los Sistemas de Gestión.