Normas ISOPublicado el 19 de marzo de 20268 min de lectura

ISO 27001:2022 — Guia rapida de transicion para organizaciones que aun no migraron

Todo lo que necesitas saber para migrar a ISO 27001:2022 antes del vencimiento. Cambios en Anexo A, errores de transicion mas frecuentes y un checklist operativo.

La version 2022 de ISO 27001 ya lleva mas de tres anos publicada y el plazo de transicion esta llegando a su limite. Sin embargo, un numero significativo de organizaciones en America Latina todavia opera con la version 2013 o, peor, inicio la transicion pero la dejo a mitad de camino. Si tu organizacion esta en alguno de esos dos grupos, esta guia rapida te da los puntos criticos que necesitas atender ya.

Que cambio entre 2013 y 2022

La estructura de alto nivel (clausulas 4 a 10) no sufrio cambios radicales. Los ajustes principales se concentran en tres areas:

Clausula 6.3 — Planificacion de cambios: Se agrego un requisito explicito para planificar cambios al SGSI de manera controlada. Esto significa que cualquier modificacion al alcance, a los controles o a la politica de seguridad requiere un proceso documentado. No es opcional.
Clausula 8.1 — Planificacion y control operacional: Se reforzaron los criterios para gestionar procesos tercerizados. Si tu organizacion depende de proveedores de nube, SOC externo o servicios de seguridad gestionada, tenes que demostrar como controlas esos procesos.
Anexo A — Controles: Paso de 114 controles en 14 dominios (version 2013) a 93 controles en 4 categorias tematicas (version 2022): organizacionales, de personas, fisicos y tecnologicos. Se agregaron 11 controles nuevos, se fusionaron 24 y se eliminaron duplicaciones.

Los 11 controles nuevos que no podes ignorar

Estos son los controles que no existian en la version 2013 y que tu organizacion debe implementar:

A.5.7 — Inteligencia de amenazas: Recopilar y analizar informacion sobre amenazas relevantes para tu organizacion.
A.5.23 — Seguridad de la informacion en servicios en la nube: Requisitos especificos para cuando usas IaaS, PaaS o SaaS.
A.5.30 — Preparacion de TIC para la continuidad del negocio: Vincular directamente la continuidad de TI con ISO 22301.
A.7.4 — Monitoreo de seguridad fisica: Vigilancia activa de instalaciones criticas.
A.8.9 — Gestion de la configuracion: Documentar y controlar configuraciones de sistemas criticos.
A.8.10 — Eliminacion de informacion: Procesos formales para borrado seguro de datos.
A.8.11 — Enmascaramiento de datos: Proteccion de datos en ambientes de desarrollo y pruebas.
A.8.12 — Prevencion de fuga de datos (DLP): Controles tecnicos para evitar exfiltracion.
A.8.16 — Monitoreo de actividades: Deteccion de comportamientos anomalos en redes y sistemas.
A.8.23 — Filtrado web: Control de acceso a sitios web riesgosos.
A.8.28 — Codificacion segura: Practicas de desarrollo seguro integradas en el ciclo de vida del software.

Errores frecuentes en la transicion

Segun los datos de nuestra investigacion sobre la transicion a ISO 27001:2022, los errores mas comunes son:

Mapear controles 1:1 sin analisis de brechas. La relacion entre controles de 2013 y 2022 no es directa. Muchas organizaciones simplemente renombraron controles sin evaluar si realmente cumplen con los requisitos nuevos.
Ignorar la Declaracion de Aplicabilidad (SoA). La SoA debe rehacerse completamente contra los 93 controles del Anexo A:2022. No alcanza con actualizar el documento viejo.
No capacitar a los auditores internos. Si tu equipo de auditoria interna sigue usando la lista de verificacion de 2013, las auditorias internas no van a detectar las brechas reales contra 2022.
Subestimar los controles tecnologicos nuevos. DLP, codificacion segura y monitoreo de actividades requieren evidencia tecnica concreta, no solo politicas documentadas.

Checklist operativo para la transicion

Si tu organizacion necesita completar la transicion, este es el orden de prioridades:

Realizar un gap analysis contra ISO 27001:2022 (si no lo hiciste, empeza por aca).
Reescribir la Declaracion de Aplicabilidad contra los 93 controles nuevos.
Implementar los 11 controles nuevos con evidencia operativa.
Actualizar la evaluacion de riesgos incorporando los criterios de la clausula 6.3.
Capacitar a auditores internos en los requisitos de 2022.
Ejecutar una auditoria interna completa contra la version 2022.
Coordinar la auditoria de transicion con el organismo de certificacion.

Si necesitas un diagnostico rapido de donde esta tu organizacion respecto a la version 2022, un analisis de brechas contra ISO 27001:2022 te da respuestas concretas en 72 horas operativas.

Disponible ahora

¿Quieres aplicar estos hallazgos?

Transformamos datos de investigacion en diagnosticos ejecutables para tu organizacion.

Solicitar diagnostico→Ver investigaciones→

Loading content…

Que cambio entre 2013 y 2022

La estructura de alto nivel (clausulas 4 a 10) no sufrio cambios radicales. Los ajustes principales se concentran en tres areas:

Clausula 6.3 — Planificacion de cambios: Se agrego un requisito explicito para planificar cambios al SGSI de manera controlada. Esto significa que cualquier modificacion al alcance, a los controles o a la politica de seguridad requiere un proceso documentado. No es opcional.

Clausula 8.1 — Planificacion y control operacional: Se reforzaron los criterios para gestionar procesos tercerizados. Si tu organizacion depende de proveedores de nube, SOC externo o servicios de seguridad gestionada, tenes que demostrar como controlas esos procesos.

Anexo A — Controles: Paso de 114 controles en 14 dominios (version 2013) a 93 controles en 4 categorias tematicas (version 2022): organizacionales, de personas, fisicos y tecnologicos. Se agregaron 11 controles nuevos, se fusionaron 24 y se eliminaron duplicaciones.

Los 11 controles nuevos que no podes ignorar

Estos son los controles que no existian en la version 2013 y que tu organizacion debe implementar:

A.5.7 — Inteligencia de amenazas: Recopilar y analizar informacion sobre amenazas relevantes para tu organizacion.

A.5.23 — Seguridad de la informacion en servicios en la nube: Requisitos especificos para cuando usas IaaS, PaaS o SaaS.

A.5.30 — Preparacion de TIC para la continuidad del negocio: Vincular directamente la continuidad de TI con ISO 22301.

A.7.4 — Monitoreo de seguridad fisica: Vigilancia activa de instalaciones criticas.

A.8.9 — Gestion de la configuracion: Documentar y controlar configuraciones de sistemas criticos.

A.8.10 — Eliminacion de informacion: Procesos formales para borrado seguro de datos.

A.8.11 — Enmascaramiento de datos: Proteccion de datos en ambientes de desarrollo y pruebas.

A.8.12 — Prevencion de fuga de datos (DLP): Controles tecnicos para evitar exfiltracion.

A.8.16 — Monitoreo de actividades: Deteccion de comportamientos anomalos en redes y sistemas.

A.8.23 — Filtrado web: Control de acceso a sitios web riesgosos.

A.8.28 — Codificacion segura: Practicas de desarrollo seguro integradas en el ciclo de vida del software.

Errores frecuentes en la transicion

Mapear controles 1:1 sin analisis de brechas. La relacion entre controles de 2013 y 2022 no es directa. Muchas organizaciones simplemente renombraron controles sin evaluar si realmente cumplen con los requisitos nuevos.

Ignorar la Declaracion de Aplicabilidad (SoA). La SoA debe rehacerse completamente contra los 93 controles del Anexo A:2022. No alcanza con actualizar el documento viejo.

No capacitar a los auditores internos. Si tu equipo de auditoria interna sigue usando la lista de verificacion de 2013, las auditorias internas no van a detectar las brechas reales contra 2022.

Subestimar los controles tecnologicos nuevos. DLP, codificacion segura y monitoreo de actividades requieren evidencia tecnica concreta, no solo politicas documentadas.

Checklist operativo para la transicion

Si tu organizacion necesita completar la transicion, este es el orden de prioridades:

Realizar un gap analysis contra ISO 27001:2022 (si no lo hiciste, empeza por aca).

Reescribir la Declaracion de Aplicabilidad contra los 93 controles nuevos.

Implementar los 11 controles nuevos con evidencia operativa.

Actualizar la evaluacion de riesgos incorporando los criterios de la clausula 6.3.

Capacitar a auditores internos en los requisitos de 2022.

Ejecutar una auditoria interna completa contra la version 2022.

Coordinar la auditoria de transicion con el organismo de certificacion.

Si necesitas un diagnostico rapido de donde esta tu organizacion respecto a la version 2022, un analisis de brechas contra ISO 27001:2022 te da respuestas concretas en 72 horas operativas.