BSI Group anunció la publicación por parte de la ISO de la más reciente actualización a la norma ISO/IEC 27002:2022, que sirve como referencia de los controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma de seguridad de la información ISO/IEC 27001.

ISO/IEC 27002:2022 busca responder a los retos que representan dichas amenazas en las diversas áreas del negocio: temas físicos, temas de tecnología, personas y de naturaleza organizacional o de gobierno. Son 11 nuevos controles que reflejan la evolución de las tecnologías y las prácticas industriales, incluida la inteligencia de amenazas, la seguridad de la información para el uso de servicios en la nube y la prevención de fugas de datos.

Todo esto como parte del marco internacional de la norma ISO/IEC 27001, especializada en seguridad de la información, ciberseguridad y protección de la privacidad: “se trata de responder a muchas necesidades actuales que con la pandemia evidenciaron las posibles rupturas o carencias de control como, por ejemplo, en temas como seguridad en la nube”, afirmó el auditor e instructor de BSI, Leonardo García.

Los controles de la actualización están etiquetados como preventivos, detectivos o correctivos, y buscan ordenar, filtrar la información y “que sea más fácil asignar roles, funciones y acciones que deban dar seguimiento en la protección de la información”, mencionó el especialista.

Comparados con la norma anterior, los controles que integran esta norma se redujeron, de 114 a 93 controles, divididos en los siguientes temas:  8 relacionados al personal, 14 para objetos físicos de los cuales 1 es nuevo, 34 para tecnología con 7 nuevos, y 37 para aspectos organizacionales con 3 controles nuevos.

Con la reactivación en las empresas, “vamos a ver cuáles superarán los retos en materia de seguridad de la información, de resiliencia organizacional, continuidad de negocio, recuperación de desastres, pero seguramente serán aquellas que ya hayan invertido mucho en el tema de normas, procesos, tecnología y automatización”, concluyó Leonardo García.