Actualización ISO 27002

ISO 27002:2022 | Introducción

Si bien la ISO 27002 no es un estándar certificable, al ser la guía

de implementación de los controles del Anexo A de la ISO 27001,
tiene una relación directa con cualquier Sistema de Gestión de
Seguridad de la Información (SGSI).

Tras 9 años aproximadamente, la Organización Internacional de

Estandarización publicó una actualización sobre los controles de
seguridad de la información. Convirtiendo el concepto en algo
más general, ya que ahora no solo contempla SI, sino también
"Seguridad de la información, ciberseguridad y protección de la
privacidad - controles de seguridad de la información".
ISO 27002:2022 | Cambio de nombre

La actualización trajo consigo un renombramiento del estándar y deja de ser un Código de prácticas, para ahora enlistar tal cual
Controles de Seguridad de Información:
ISO 27002:2022 | Estructura versión 2013

La estructura de la ISO 27002:2013 contemplaba 3 rubros:

● Dominio. Cómo su nombre lo indica, es una sección en específico que tiene como propósito desglosar una serie de controles
relacionados.

● Objetivo de control. Dentro de cada dominio, hay objetivos de control. Esto es una subsección que tiene como propósito indicar lo
que se debe lograr, y agrupa controles que se complementan entre sí.

● Control. Es lo que se debe de desarrollar para poder estar en cumplimiento y lograr el objetivo de control.

Ejemplo:
ISO 27002:2022 | Estructura versión 2022

La estructura de la ISO 27002:2022, elimina los términos de Dominio y Objetivo de control, agrupando a los controles en “Temas”.

La agrupación es con base en su objetivo o alcance dentro de la organización.

● Clausula 5 | Controles Organizacionales: 37 controles.

● Clausula 6 | Controles de Personas: 8 controles.

● Clausula 7 | Controles Físicos: 14 controles.

● Clausula 8 | Controles Tecnológicos: 34 controles.

ISO 27002:2022 | Estructura versión 2022

La estructura de la ISO 27002:2022, incluye “Atributos de control” para identificar características que aporten a un mayor entendimiento
de lo que se busca cumplir.

● Atributo | Tipo de control. #Correctivo, #Detectivo, #Preventivo.

● Atributo | Propiedad de SI. #Confidencialidad, #Integridad, #Disponibilidad.

● Atributo | Concepto de ciberseguridad. #Detectar, #Identificar, #Proteger, #Recuperar, #Responder.

● Atributo | Capacidad operacional. #Gobernanza, #Gestión de Activos, #Protección de la Información, #Seguridad en los Recursos
Humanos, #Seguridad Física, #Seguridad en sistemas y Redes, #Seguridad en Aplicaciones, #Seguridad en la Configuración,
#Gestión de Accesos e Identidades, #Gestión de Amenazas y Vulnerabilidades, #Continuidad, #Seguridad en Relaciones con
Proveedores, #Legal y Cumplimiento, #Gestión de Eventos de Seguridad de la Información, #Aseguramiento de la Seguridad.

● Atributo | Dominio de Seguridad. #Defensa, #Gobierno_y_ecosistema, #Protección, #Resiliencia.

ISO 27002:2022 | Estructura versión 2022

Ejemplo:
ISO 27002:2022 | Controles 2013 vs 2022

Para ISO 27002:2013, la estructura es:

● 114 controles, agrupados en 14 Dominios.

Para ISO 27002:2022, la estructura es:

● 93 controles, agrupados en 4 temas.

💡Datos importantes:
● Sólo un control se eliminó como tal: A.11.2.5 – Retiro de activos.
● De los 113 controles restantes, se agruparon algunos que pertenecían a las mismas categorías o bien que podían cumplir objetivos
comunes.
● Se definieron 11 nuevos controles.
○ 5.7 Inteligencia de Amenazas.
○ 5.23 Seguridad de la información para el uso de servicios en la nube.
○ 5.30 Preparación de las TIC para la continuidad del negocio.
○ 7.4 Monitoreo de la seguridad física.
○ 8.9 Gestión de la configuración.
○ 8.10 Eliminación de la información.
○ 8.11 Enmascaramiento de datos.
○ 8.12 Prevención de la fuga de datos.
○ 8.16 Monitoreo de actividades.
○ 8.22 Filtrado Web.
○ 8.28 Codificación Segura.
ISO 27002:2022 | Resumen
¡Muchas gracias!