NosotrosNormasBlog ✦ IASolicitar →
Inicio  /  Blog  /  Certificación ISO 27001

Guía de Certificación ISO 27001:2022 — Todo lo que Necesita Saber

La norma ISO/IEC 27001:2022 ha entrado en su fase definitiva de implementación. Las organizaciones certificadas bajo la versión 2013 deben actuar de inmediato para actualizar su Sistema de Gestión de Seguridad de la Información (SGSI). Esta guía aborda todos los cambios críticos, la nueva estructura del Anexo A y una hoja de ruta práctica de transición.

ISO 27001 SGSI Certificación

 ·  8 min de lectura

Por qué importa la revisión de 2022

ISO/IEC 27001:2022 reemplazó a la edición de 2013 en octubre de 2022. El International Accreditation Forum (IAF) estableció un periodo de transición de tres años, lo que significa que todos los certificados ISO 27001:2013 existentes debían completar la transición a la versión 2022 antes del 31 de octubre de 2025. Tras esa fecha, cualquier certificado que aún haga referencia a la norma de 2013 se considera inválido.

No se trata de una actualización administrativa menor. Mientras que las cláusulas principales del sistema de gestión (4 a 10) recibieron cambios relativamente moderados, el Anexo A experimentó una reestructuración completa. Los anteriores 114 controles distribuidos en 14 dominios se han consolidado en 93 controles agrupados en solo cuatro temas. Se introdujeron once controles completamente nuevos que reflejan la evolución del panorama de amenazas en áreas como la computación en la nube, la inteligencia de amenazas, el enmascaramiento de datos y los ciclos de desarrollo seguro.

Cambios principales en las cláusulas del sistema de gestión

Los requisitos del sistema de gestión en las Cláusulas 4 a 10 se alinean con la Estructura Armonizada (HS) utilizada en todas las normas ISO de sistemas de gestión. La revisión de 2022 introduce varios cambios específicos:

  • Cláusula 4.2 — Partes interesadas: Las organizaciones deben determinar explícitamente qué requisitos de las partes interesadas se abordarán a través del SGSI. Esto requiere un análisis documentado, no solo un listado de partes interesadas.
  • Cláusula 4.4 — Alcance del SGSI: Ahora se exige identificar los procesos necesarios para el SGSI y sus interacciones, orientando hacia un pensamiento basado en procesos.
  • Cláusula 6.3 — Planificación de cambios: Nueva subcláusula. Cuando la organización determine la necesidad de cambios en el SGSI, estos deben llevarse a cabo de manera planificada.
  • Cláusula 8.1 — Planificación y control operacional: Se deben establecer criterios para los procesos de seguridad e implementar controles de acuerdo con dichos criterios.
  • Cláusula 9.3 — Revisión por la dirección: Las entradas de la revisión incluyen ahora explícitamente los cambios en las necesidades y expectativas de las partes interesadas relevantes para el SGSI.
  • Cláusula 10 — Mejora: El orden ha cambiado. La mejora continua (10.1) ahora precede a las no conformidades y acciones correctivas (10.2), indicando que la mejora debe ser proactiva.

Nueva estructura del Anexo A: cuatro temas en lugar de catorce

El cambio más visible es la reorganización del Anexo A. La versión de 2013 contaba con 14 categorías de control (A.5 a A.18) con 114 controles. La versión 2022 los reestructura en cuatro grupos temáticos:

Tema Controles Descripción
A.5 Organizacionales 37 Políticas, roles, responsabilidades, inteligencia de amenazas, gestión de activos, control de acceso, relaciones con proveedores y cumplimiento.
A.6 Personas 8 Verificación de antecedentes, condiciones de empleo, concienciación, formación, procesos disciplinarios y trabajo remoto.
A.7 Físicos 14 Perímetros de seguridad física, controles de entrada, vigilancia física, protección contra amenazas ambientales y política de escritorio limpio.
A.8 Tecnológicos 34 Dispositivos de usuario, acceso privilegiado, gestión de vulnerabilidades, gestión de configuración, enmascaramiento de datos, DLP, monitorización y codificación segura.

Cada control cuenta ahora con un conjunto de atributos asociados: tipo de control (preventivo, detectivo, correctivo), propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar), capacidades operacionales y dominios de seguridad.

Los 11 nuevos controles que debe abordar

ISO 27001:2022 introduce once controles sin equivalente directo en la versión de 2013. Cada uno refleja una carencia específica identificada a lo largo de años de experiencia en implementación:

  • A.5.7 — Inteligencia de amenazas: Las organizaciones deben recopilar y analizar información sobre amenazas a su seguridad de la información, integrando fuentes de inteligencia en las evaluaciones de riesgos.
  • A.5.23 — Seguridad en servicios en la nube: Control dedicado que exige procesos para la adquisición, uso, gestión y salida de servicios en la nube.
  • A.5.30 — Preparación TIC para la continuidad del negocio: Los sistemas TIC deben estar preparados específicamente para interrupciones, con objetivos de tiempo de recuperación definidos.
  • A.7.4 — Vigilancia de la seguridad física: Las instalaciones deben ser monitorizadas de forma continua contra accesos físicos no autorizados.
  • A.8.9 — Gestión de la configuración: Las configuraciones de hardware, software, servicios y redes deben estar documentadas, implementadas y revisadas periódicamente.
  • A.8.10 — Eliminación de información: La información almacenada debe eliminarse cuando ya no sea necesaria, operativizando los principios de minimización de datos.
  • A.8.11 — Enmascaramiento de datos: Se debe aplicar enmascaramiento de datos conforme a la política de control de acceso de la organización.
  • A.8.12 — Prevención de fuga de datos (DLP): Se deben aplicar medidas DLP a sistemas, redes y endpoints que procesen información sensible.
  • A.8.16 — Actividades de monitorización: Redes, sistemas y aplicaciones deben ser monitorizados para detectar comportamientos anómalos.
  • A.8.23 — Filtrado web: El acceso a sitios web externos debe ser gestionado para reducir la exposición a contenido malicioso.
  • A.8.28 — Codificación segura: Se deben aplicar principios de codificación segura al desarrollo de software, incluyendo estándares de codificación y revisión de código.

Cronología de la transición: situación actual

El IAF publicó el documento MD 26:2022, que estableció los requisitos de transición para los organismos de certificación y sus clientes. Las fechas clave son:

  • Octubre 2022: Publicación de ISO/IEC 27001:2022. Inicio del periodo de transición.
  • Abril 2024: Los organismos de certificación solo deben realizar auditorías iniciales contra la versión 2022.
  • 31 de octubre de 2025: Todos los certificados ISO 27001:2013 pierden validez.

Las organizaciones que no completaron la transición antes del plazo deben contactar a su organismo de certificación de inmediato. Algunos organismos pueden ofrecer procesos de recertificación acelerados, aunque la disponibilidad varía.

Hoja de ruta de transición paso a paso

Paso 1: Análisis de brechas. Compare su actual Declaración de Aplicabilidad (SoA) con los nuevos controles del Anexo A. Mapee cada control existente a su equivalente en 2022. Identifique los 11 nuevos controles y evalúe su nivel de madurez actual frente a cada uno.

Paso 2: Actualice su evaluación de riesgos. El conjunto de controles referenciado en su plan de tratamiento de riesgos debe actualizarse para reflejar el Anexo A de ISO 27002:2022. Reevaluar riesgos donde los nuevos controles puedan modificar la estrategia de tratamiento.

Paso 3: Revise su Declaración de Aplicabilidad. La SoA es el documento más importante del SGSI desde la perspectiva de auditoría. Debe referenciar los 93 controles de la versión 2022 y describir cómo se implementan los controles aplicables.

Paso 4: Actualice políticas y procedimientos. Revise todas las políticas de seguridad de la información para alinearlas con el nuevo conjunto de controles, prestando especial atención a las áreas con nuevos controles.

Paso 5: Implemente los nuevos controles. Para cada nuevo control aplicable, defina el enfoque de implementación, asigne responsabilidades, recursos y plazos. Algunos controles pueden requerir inversión tecnológica.

Paso 6: Forme a su equipo. Todo el personal con responsabilidades en el SGSI necesita comprender los cambios, incluyendo auditores internos que deben formarse en la nueva estructura de controles.

Paso 7: Realice una auditoría interna. Antes de la auditoría de certificación, ejecute una auditoría interna completa contra los requisitos de 2022 para identificar brechas residuales.

Paso 8: Auditoría de certificación. Coordine con su organismo de certificación para programar la auditoría de transición o recertificación. Asegúrese de que toda la documentación esté actualizada y las evidencias de implementación estén disponibles.

Errores frecuentes a evitar

  • Tratarlo como un simple renumerado: Remapear números de control no aborda la intención de la revisión. Los nuevos controles cubren brechas reales.
  • Ignorar la taxonomía de atributos: Aunque no es obligatoria, los atributos de control proporcionan un marco valioso para comunicar la postura de seguridad a la dirección.
  • Subestimar los requisitos tecnológicos: Controles como A.8.16 (Monitorización), A.8.12 (DLP) y A.8.23 (Filtrado web) pueden requerir herramientas nuevas.
  • Dejar la SoA para último momento: La Declaración de Aplicabilidad es el primer documento que solicitan la mayoría de los auditores.

Cómo BALTUM apoya su transición

La red internacional de auditores y consultores de BALTUM ha estado apoyando a organizaciones en la transición a ISO 27001:2022 desde la publicación de la norma. Nuestros servicios incluyen:

  • Análisis de brechas: Una evaluación estructurada que compara su SGSI actual con los requisitos de 2022, entregada como un plan de acción priorizado.
  • Revisión de la SoA: Orientación experta para actualizar su Declaración de Aplicabilidad, incluyendo mapeo de controles y preparación de evidencias.
  • Formación de auditores internos: Programas de formación acreditados que capacitan a su equipo de auditoría interna para auditar contra el nuevo conjunto de controles.
  • Revisión pre-certificación: Una evaluación completa de preparación realizada por auditores experimentados para resolver no conformidades antes de la auditoría oficial.

La transición a ISO 27001:2022 no es solo una obligación de cumplimiento: es una oportunidad para fortalecer su postura de seguridad con controles que reflejan el panorama actual de amenazas.