Cuando ISO/IEC 27001:2022 sustituyó a la versión de 2013, muchas organizaciones lo trataron como una actualización de mantenimiento. Un año nuevo en la portada, algunos controles renumerados, un plazo de transición que parecía lejano. Esa lectura pasó por alto lo que la revisión realmente hizo.
El Anexo A de 2022 es estructuralmente diferente, y los cambios reflejan cómo ha evolucionado la seguridad de la información a lo largo de los nueve años transcurridos entre versiones. Entender los cambios importa porque la transición no es un ejercicio de reformulación. Es una reordenación arquitectónica de cómo se organizan los controles y cómo se relacionan con los riesgos modernos.
La creencia común
El atajo que adoptan la mayoría de los proyectos de transición es mapear los controles antiguos a los nuevos y actualizar la Declaración de Aplicabilidad. Marcar la casilla, archivar el papeleo, seguir adelante. Sobre el papel, la organización cumple con la versión 2022.
El problema es que la revisión de 2022 no fue un reetiquetado. Fue una respuesta a las brechas observadas en los controles de 2013 y una consolidación que cambió la sustancia de lo que significa el cumplimiento.
Qué cambió realmente
Tres cambios concentran la mayor parte del peso.
1. Menos controles, organizados de forma diferente
El Anexo A pasó de 114 controles a 93. La reducción no es simplificación. Es consolidación: muchos controles de 2013 se fusionaron porque abordaban el mismo riesgo subyacente a través de diferentes prismas técnicos, y la consolidación obliga a la organización a pensar en el riesgo en lugar de en el control.
Los 93 controles están ahora organizados en cuatro temas: organizativos (37 controles), de personas (8 controles), físicos (14 controles) y tecnológicos (34 controles). La antigua agrupación numerada por cláusulas ha desaparecido. La estructura temática se acerca más a cómo los CISO piensan realmente sobre los programas de seguridad.
2. Once controles nuevos
Once controles son genuinamente nuevos, no reformulados. Abordan áreas que la versión de 2013 no cubría o cubría de forma indirecta: inteligencia sobre amenazas, seguridad de la información para servicios en la nube, preparación de las TIC para la continuidad de negocio, vigilancia de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fugas de datos, actividades de monitorización, filtrado web y codificación segura.
Cada uno de estos refleja una categoría de riesgo que maduró entre 2013 y 2022. La nube pasó de ser un caso marginal a convertirse en el modelo operativo dominante. La inteligencia sobre amenazas pasó de ser algo deseable a ser una línea base. Las fugas de datos pasaron de ser una preocupación especializada a ser una cuestión transversal.
3. Atributos como segunda capa de organización
La versión de 2022 introduce cinco atributos que etiquetan cada control: tipo de control (preventivo, detectivo, correctivo), propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar, reflejando el NIST CSF), capacidades operativas y dominios de seguridad.
Los atributos permiten a las organizaciones ver su conjunto de controles desde diferentes perspectivas sin tener que reescribirlo: ¿cuáles de nuestros controles son detectivos? ¿cuáles abordan la integridad? ¿cuáles corresponden a la función «reспonder» del NIST CSF? Esta flexibilidad es nueva y tiene consecuencias importantes.
La revisión de 2022 parece una actualización de versión. Estructuralmente, es una reorganización de cómo los controles se relacionan con las amenazas modernas. Tratarla como cosmética es el error que comete la mayoría de los proyectos de transición.
La pregunta que se hace la mayoría de los proyectos de transición es «cómo mapeamos los controles antiguos a los nuevos?» La pregunta útil es «qué brechas tenía nuestra implementación de 2013 que la revisión de 2022 pone de manifiesto?»
Una organización que responde honestamente a la segunda pregunta generalmente descubre que algunos de los nuevos controles describen capacidades que la organización ya tiene (a menudo de forma informal) y que un número reducido describe brechas genuinas que deben abordarse antes de la auditoría de transición.
El cambio estructural
Los estándares de sistemas de gestión ISO llevan una década avanzando hacia la modularidad. La Estructura Armonizada (anteriormente Anexo SL) estandarizó las cláusulas en todas las familias de sistemas de gestión. La revisión de ISO 27001 de 2022 dio el siguiente paso: mantuvo estables las cláusulas y reestructuró únicamente el anexo de controles, señalando que el Anexo A es donde el estándar absorbe los cambios del mundo exterior.
Esto importa porque sugiere que la próxima revisión probablemente volverá a tocar los controles, no las cláusulas. Las organizaciones que construyan el Anexo A ahora como una biblioteca de controles flexible y etiquetada por atributos tendrán una transición más sencilla la próxima vez. Las organizaciones que endurezcan su SGSI en torno a la lista específica de controles de 2022 se enfrentarán al mismo trabajo de adaptación de nuevo en una década.
Qué significa esto para su organización
Use la transición como una revisión real. Si aún trabaja con la versión de 2013, esta es la oportunidad más económica que tendrá para reevaluar su SoA, retirar controles irrelevantes y abordar los nuevos con evidencia actual en lugar de adaptarlos a posteriori.
Invierta en los atributos. Etiquetar los controles con las cinco categorías de atributos requiere esfuerzo una sola vez y es rentable cada vez que necesita responder a una pregunta de un comprador, regulador o auditor sobre su conjunto de controles. Es también la base para integrar 27001 con NIST CSF, SOC 2 u otros marcos.
Trate los nuevos controles como genuinamente nuevos. Controles como la inteligencia sobre amenazas, la prevención de fugas de datos y las actividades de monitorización generalmente requieren nuevos procesos, no solo nuevos documentos. Planifique tiempo de implementación, no solo tiempo de documentación.
Una actualización de versión que consolida 114 controles en 93, añade 11 nuevos e introduce un sistema de etiquetado de cinco dimensiones no es una actualización de versión. Es un nuevo modelo operativo para el SGSI.
¿Listo para pasar de la documentación a la certificación?
📩 [email protected] · 🌐 zertia.ai
