Brochures

ISO 27001:2022 Annex A — What Changed and Why

Zertia Team · 6 min read
Share

Cuando ISO/IEC 27001:2022 reemplazó a la versión de 2013, muchas organizaciones lo trataron como una actualización de mantenimiento. Un nuevo año en la portada, algunos controles renumerados, un plazo de transición que parecía lejano. Esa lectura pasó por alto lo que hizo realmente la revisión.

El Anexo A de 2022 es estructuralmente distinto, y los cambios reflejan cómo ha evolucionado la seguridad de la información durante los nueve años entre versiones. Entender los cambios importa porque la transición no es un ejercicio de reescritura. Es una rearquitectura de cómo se organizan los controles y cómo mapean a los riesgos modernos.

## La creencia habitual

El atajo que toman la mayoría de proyectos de transición es mapear los controles antiguos a los nuevos y actualizar la Declaración de Aplicabilidad. Marca la casilla, archiva el papeleo, pasa a lo siguiente. Sobre papel la organización cumple con la versión 2022.

El problema es que la revisión de 2022 no fue un reetiquetado. Fue una respuesta a brechas observadas en los controles de 2013 y una consolidación que cambió la sustancia de cómo se ve el cumplimiento.

## Qué cambió realmente

Tres cambios cargan con la mayor parte del peso.

### 1. Menos controles, organizados de otra forma

El Anexo A pasó de 114 controles a 93. La reducción no es simplificación. Es consolidación: muchos controles de 2013 se fusionaron porque trataban el mismo riesgo subyacente a través de lentes técnicas distintas, y la consolidación fuerza a la organización a pensar sobre el riesgo en lugar de sobre el control.

Los 93 controles se organizan ahora en cuatro temas: organizativo (37 controles), de personas (8 controles), físico (14 controles) y tecnológico (34 controles). La agrupación por cláusulas numeradas de la versión anterior ha desaparecido. La estructura temática está más cerca de cómo los CISOs realmente piensan los programas de seguridad.

### 2. Once controles nuevos

Once controles son genuinamente nuevos, no reescrituras. Tratan áreas que la versión de 2013 no cubría o cubría indirectamente: threat intelligence, seguridad para servicios en la nube, preparación TIC para la continuidad de negocio, monitorización de seguridad física, gestión de configuración, borrado de información, enmascaramiento de datos, prevención de fuga de datos, actividades de monitorización, filtrado web, y desarrollo seguro.

Cada uno refleja una categoría de riesgo que maduró entre 2013 y 2022. El cloud pasó de caso excepcional a modelo operativo dominante. Threat intelligence pasó de nice-to-have a base. La fuga de datos pasó de preocupación especializada a transversal.

### 3. Atributos como segunda capa organizativa

La versión 2022 introduce cinco atributos que etiquetan cada control: tipo de control (preventivo, detectivo, correctivo), propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar, reflejando NIST CSF), capacidades operativas y dominios de seguridad.

Los atributos permiten a las organizaciones ver su conjunto de controles a través de lentes distintas sin reescribirlo: “¿qué controles nuestros son detectivos?” “¿cuáles tratan integridad?” “¿cuáles corresponden a la función ‘responder’ de NIST CSF?”. Esta flexibilidad es nueva y tiene consecuencias.

> La revisión 2022 parece un cambio de versión. Estructuralmente, es una reorganización de cómo los controles mapean a las amenazas modernas. Tratarla como cosmética es el error que cometen la mayoría de proyectos de transición.
>

## Replanteando la pregunta

La pregunta que la mayoría de proyectos de transición hace es “¿Cómo mapeamos los controles antiguos a los nuevos?”. La pregunta útil es “¿Qué brechas tenía nuestra implementación de 2013 que la revisión de 2022 expone?”.

Una organización que responde la segunda pregunta con honestidad suele encontrar que algunos de los controles nuevos describen capacidades que la organización ya tiene (a menudo de forma informal) y que un número pequeño describe brechas genuinas que hay que tratar antes de la auditoría de transición.

## El cambio estructural

Las normas ISO de sistemas de gestión llevan una década moviéndose hacia la modularidad. La Harmonized Structure (antes Anexo SL) estandarizó las cláusulas a través de las familias de sistemas de gestión. La revisión de 2022 de 27001 dio el siguiente paso: mantuvo las cláusulas estables y reestructuró solo el anexo de controles, señalando que el Anexo A es donde la norma absorbe el cambio del mundo exterior.

Eso importa porque sugiere que la próxima revisión tocará probablemente los controles otra vez, no las cláusulas. Las organizaciones que construyan el Anexo A ahora como una librería de controles flexible y etiquetada con atributos transitarán con más facilidad la próxima vez. Las organizaciones que fijen su SGSI alrededor de la lista específica de controles de 2022 se enfrentarán al mismo trabajo de retrofit dentro de una década.

## Qué significa esto para tu organización

Usa la transición como una revisión real. Si sigues en 2013, esta es la oportunidad más barata que tendrás para reevaluar tu SoA, retirar controles irrelevantes, y tratar los nuevos con evidencia actual en lugar de retrofit.

Invierte en los atributos. Etiquetar controles con las cinco categorías de atributos cuesta esfuerzo una vez y paga cada vez que tienes que responder una pregunta de un comprador, regulador o auditor sobre tu conjunto de controles. Es también la base para integrar 27001 con NIST CSF, SOC 2 u otros marcos.

Trata los controles nuevos como genuinamente nuevos. Controles como threat intelligence, prevención de fuga de datos y actividades de monitorización normalmente requieren procesos nuevos, no solo documentos nuevos. Planifica tiempo de implementación, no solo tiempo de documentación.

> Un cambio de versión que consolida 114 controles en 93, añade 11 nuevos, e introduce un sistema de etiquetado de cinco dimensiones no es un cambio de versión. Es un nuevo modelo operativo para el SGSI.
>

¿Listo para pasar de la documentación a la certificación?

📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)

Your fast track to compliance starts here

Our team is ready to support your compliance, cybersecurity, and privacy needs. Complete the contact form or reach out to [email protected], and our experts will guide you through the next steps.