Principales cambios de la nueva norma ISO 27.002:2021

 

TIMSANET

La nueva norma ISO 27.002, las cuales han podido ser analizadas desde el Draft International Standard (DIS) publicado recientemente en noviembre.

El 26 de noviembre del 2020 ha sido publicado el Draft International Standard (DIS) de la norma ISO 27.002, técnicamente definida como ISO/IEC DIS 27.002, la cual viene a actualizar el estándar ISO 27.002:2013.

Comienzan las etapas de revisión final establecidas en el ciclo de revisión de los estándares ISO, lo cual permite estimar que la publicación final del estándar será realizada en el tercer trimestre del 2021.

En la etapa actual del estándar, etapa de consulta (etapa 40), considera la duración de 12 semanas, cuyo comienzo está establecido del 28 de enero del 2021, finalizando el 22 de abril del 2021. Si el borrador es aprobado, se transforma en borrador final (FDIS) debiendo éste pasar a una etapa de consulta (etapa 50), la cual tiene una duración de 8 semanas, lo cual en caso de aprobarse pasaría a la etapa de revisión (etapa 60), la cual dura 20 semanas, transformándose de esta forma, en el estándar final. Es muy probable que entre Noviembre y Diciembre del 2021 ya esté publicada la nueva ISO/IEC 27.002:2021.

 

RELEVANCIA DE LA ISO 27.002

 

En el contexto de los estándares y buenas prácticas de seguridad de la información y la ciberseguridad, sin duda que las normas establecidas en la serie ISO 27.000 son las de mayor relevancia en la materia, siendo la ISO 27.001, norma que define los requisitos del Sistema de Gestión de Seguridad de la Información, y la norma ISO 27.002 la que establece los lineamientos de Implementación de los controles de seguridad, las más relevantes de la serie.

La relevancia de esta serie de normas es que pueden ser extensibles a diversos contextos significativos en la seguridad de la información desde el modelo establecidos en ISO 27.001 y los controles de ISO 27.002; es así como por ejemplo para la aplicación de controles de seguridad para servicios en la nube se puede emplear la ISO 27.017; para controles específicos de ciberseguridad se puede emplear la ISO 27.032; para la implementación del proceso de gestión de incidentes se puede emplear la ISO 27.035 o para la implementación de un sistema de gestión de privacidad de la información se puede emplear la ISO 27.701, siendo algunos de los ejemplos más representativos.

 

De manera adicional y para considerar el impacto de la norma, prácticamente todos los modelos o estándares de referencia se basan y/o poseen un alineamiento con los controles de ISO 27.002, como por ejemplo el Framework de Ciberseguridad del NIST, el cual para su implementación se basa principalmente en ISO 27.001 e ISO 27.002, COBIT 2019, el modelo de controles del CIS, entre otros.

Dada la importancia de la norma y su estrecha relación con otros modelos, los cambios que ésta plantea deben ser seguidos de cerca por aquellos que tengan un uso intensivo de la misma en su quehacer profesional, así como para considerar los potenciales beneficios de esta nueva versión.

 

PRINCIPALES CAMBIOS.

La nueva versión trae consigo importantes cambios, siendo los más representativos:

-El cambio de nombre

-Incorporación de nuevos términos y definiciones

-La nueva estructura de temas de seguridad de la información

-La nueva estructura de atributos de los controles

-Cambios en controles desde la versión ISO 27.002:2013

-Dichos cambios serán a continuación abordados en mayor detalle.

 

El comprender las características de la norma ISO 27.002 y su enfoque de controles, nos permitirá conocer directrices importantes sobre cómo implementar los controles más relevantes en la materia, por tanto comprender los cambios que se están definiendo, sin duda deben ser considerados como un elemento de competencia mínima para aquellos que aprecien su debida diligencia y cuidado profesional.

La nueva estructura de la norma es un importante paso para la simplificación y facilidad de uso de ésta, teniendo importantes cambios, no sólo en lo estructural, sino que incluso a nivel de lenguaje acercándose a temas más atingentes a la ciberseguridad actual.

 

    

 

 

 

 Copyright

Linkedln,Carlos Lobos de Medina.