ISO 27001: NUEVOS CONTROLES Y SUS IMPACTOS EN LOS NEGOCIOS
Los cambios en la ISO 27001 influyen en los niveles estratégico, táctico y operativo de organizaciones de diversos sectores y tamaños, resultando en mayores desafíos para la Seguridad de la Información en las empresas.
La ISO 27001 es una referencia global en gestión de Seguridad de la Información y tiene como principio general la adopción de una serie de requisitos, procesos y controles para mitigar y gestionar adecuadamente los riesgos de Seguridad de la Información de las organizaciones. La norma juega un papel importante al establecer criterios específicos que una empresa debe cumplir para ser elegible para la certificación de terceros.
La evolución de la transformación digital en la última década desde la última modificación ha traído innumerables beneficios para los avances tecnológicos, pero también ha expandido los riesgos y vulnerabilidades que amenazan la gestión de Seguridad de la Información de las organizaciones. Así, después de nueve años desde su última actualización, la norma tuvo cambios anunciados a finales de 2022.
Con un enfoque creciente en mitigar riesgos relacionados con ciberataques, la ISO/IEC 27001:2022 ha pasado por importantes actualizaciones. Los principales cambios están en la especificación de cuatro dominios conceptuales y en la incorporación de 11 nuevos controles en el Anexo A.
¿Cuáles son los nuevos controles?
El Anexo A de la norma ISO 27001 recibió 11 nuevos controles:
1. Inteligencia de amenazas
2. Seguridad de la información para el uso de servicios en la nube
3. Preparación de TIC (Tecnología de Información y Comunicación) para la continuidad del negocio
4. Monitoreo de seguridad física
5. Gestión de configuración
6. Eliminación o exclusión de información
7. Enmascaramiento de datos
8. Prevención de fuga de datos
9. Actividades de monitoreo
10. Filtrado web
11. Cifrado seguro (Desarrollo Seguro)
Uno de los grandes desafíos para cumplir especialmente con los nuevos controles está en cuestiones contractuales. Con la creciente externalización de buena parte de los servicios de tecnología, como ocurre con las plataformas de software as a service, lidiar con las nuevas cláusulas alcanza un nivel mayor de complejidad en la elaboración de contratos y requiere mayores cuidados en los acuerdos y contrataciones de servicios.
Otro punto de atención importante para las organizaciones está en la escasez de mano de obra calificada para avanzar en las demandas de los nuevos desafíos en Seguridad de la Información. Según la investigación (ISC)² Cibersecurity Workforce Study 2022, la brecha de profesionales especializados en ciberseguridad creció un 26,2% en un año, en comparación con 2021. Esta realidad exige de las empresas acciones a corto plazo para establecer una gestión de seguridad de la información eficaz.
El crecimiento casi exponencial de datos e información junto con una compleja gestión de datos son los principales desafíos para los próximos años. Las organizaciones deben prestar atención a la importancia de invertir en el compromiso con la cultura de ciberseguridad entre sus colaboradores y stakeholders. Después de todo, los cambios en la ISO 27001 tienen influencia en los niveles estratégico, táctico y operativo de organizaciones de diversos sectores y tamaños.
Impactos en la gobernanza
La gobernanza corporativa recibe un impacto significativo de la ISO 27001:2022. Área fundamental para la transparencia, responsabilidad y toma de decisiones en las empresas, la gobernanza es influenciada en los aspectos de gestión de riesgos, cumplimiento, requisitos regulatorios y de compliance de la Seguridad de la Información.
Otro punto relacionado con la agenda de gobernanza de las organizaciones está en la Ley Protección de Datos. La protección de los datos personales de clientes, colaboradores, entre otras partes interesadas, requiere la implementación de medidas que deben considerar la responsabilidad de las organizaciones en relación con estos principios de seguridad. Prevenir incidentes, garantizar el cumplimiento, gestionar el control de los datos son atributos intrínsecos a la Ley que pasan por la eficiencia de una gestión integral de ciberseguridad.
Diferencial competitivo
Considerando los desafíos emergentes, la certificación ISO 27001:2022 trae beneficios incuestionables para las organizaciones. Se considera que esta norma es la base para una estrategia eficiente para una gestión de credibilidad y que contribuya con una buena reputación en el mercado. El respaldo inicial de las empresas en este tema está en la ISO 27001 para asegurar que la Seguridad de la Información sea considerada como estratégica para la continuidad y evolución de los negocios.