ISO/IEC 27002:2022: Los Cambios Clave en el Estándar de Controles de Seguridad de la Información
La ISO/IEC 27002 es una norma internacional que proporciona directrices para la implementación de controles de seguridad de la información, en apoyo a los requisitos de la ISO/IEC 27001. En febrero de 2022, esta norma fue actualizada por primera vez desde 2013, reflejando los cambios significativos en el panorama de amenazas, tecnologías emergentes y enfoques modernos en ciberseguridad.
La versión ISO/IEC 27002:2022 no solo reorganiza y moderniza los controles existentes, sino que introduce un nuevo enfoque más estructurado, flexible y alineado con las necesidades actuales de las organizaciones.
Principales Cambios en ISO/IEC 27002:2022
1. Reducción y Reorganización de Controles
- De 114 controles en 14 dominios → a 93 controles en 4 categorías temáticas.
- Esta consolidación elimina redundancias y facilita la comprensión e implementación.
| ISO/IEC 27002:2013 | ISO/IEC 27002:2022 |
|---|---|
| 114 controles | 93 controles |
| 14 dominios | 4 temas |
Nuevas 4 categorías temáticas:
- Controles organizacionales (37 controles)
- Controles de personas (8 controles)
- Controles físicos (14 controles)
- Controles tecnológicos (34 controles)
2. 11 Nuevos controles introducidos
Se incluyen nuevos controles que responden a amenazas emergentes y prácticas modernas de seguridad:
| # | Nombre del Control | Enfoque |
|---|---|---|
| 1 | Threat intelligence | Uso de inteligencia de amenazas para decisiones informadas |
| 2 | Information security for use of cloud services | Protección de datos en entornos de nube |
| 3 | ICT readiness for business continuity | Preparación TIC para continuidad de negocio |
| 4 | Physical security monitoring | Monitoreo activo de seguridad física |
| 5 | Configuration management | Gestión segura de configuraciones |
| 6 | Deletion of information | Borrado seguro de la información |
| 7 | Data masking | Enmascaramiento de datos |
| 8 | Data leakage prevention | Prevención de fugas de datos |
| 9 | Monitoring activities | Monitoreo de actividades sospechosas o anómalas |
| 10 | Web filtering | Filtrado de navegación web |
| 11 | Secure coding | Prácticas seguras de codificación de software |
3. Incorporación de Atributos para Clasificación de Controles
Cada control ahora puede etiquetarse con atributos para facilitar su uso en distintos contextos, como auditoría, evaluación de riesgos o implementación técnica.
Los atributos incluyen:
- Tipos de control (preventivo, detectivo, correctivo)
- Propiedades de seguridad (confidencialidad, integridad, disponibilidad)
- Conceptos de ciberseguridad (gobierno, defensa, resiliencia)
- Capacidades operativas
- Dominios de seguridad de la información
Esto facilita la personalización de los controles a distintos marcos de referencia o necesidades empresariales.
4. Formato y estilo más moderno
La redacción ha sido simplificada y estandarizada para facilitar su lectura y comprensión. Cada control ahora incluye:
- Un título claro
- Un propósito definido
- Guía específica sobre su implementación
¿Por qué son importantes estos cambios?
- Modernización del enfoque: La norma ahora es más relevante frente a amenazas modernas como la nube, la ingeniería social o el desarrollo de software inseguro.
- Mayor claridad: Al reducir y agrupar controles, se mejora la gestión y el seguimiento.
- Flexibilidad: Los atributos permiten adaptar los controles a distintos marcos regulatorios o modelos de madurez.
- Preparación para ISO/IEC 27001:2022: Esta actualización se alinea con la nueva versión de ISO/IEC 27001, facilitando la certificación y su mantenimiento.
Conclusión
La ISO/IEC 27002:2022 representa una evolución necesaria hacia un modelo de seguridad de la información más ágil, actualizado y centrado en el riesgo real. Las organizaciones que adopten esta nueva versión no solo estarán alineadas con los estándares internacionales más actuales, sino que también contarán con herramientas más eficaces para enfrentar los desafíos modernos de ciberseguridad.