ISO 27001:2022 vs 2013: ¿Qué ha Cambiado?

Guía Completa de Comparación para Organizaciones en Transición al Nuevo Estándar

Inicio Blog Guía de Implementación

📋 Resumen de Cambios

ISO/IEC 27001:2022 fue publicada en octubre de 2022, reemplazando la versión de 2013. Las organizaciones certificadas según ISO 27001:2013 tienen hasta octubre de 2025 para hacer la transición al nuevo estándar. Comprender los cambios es crucial para planificar su estrategia de transición.

Resumen de Cambios Clave

  • 93 controles (frente a 114): Consolidados para mayor claridad y menos duplicación
  • 4 temas (vs 14 dominios): Organizacional, Personas, Físico, Tecnológico
  • 10 nuevos controles: Incluyendo threat intelligence, seguridad cloud, preparación TIC
  • 24 controles fusionados: Requisitos superpuestos combinados
  • 58 controles actualizados: Lenguaje y requisitos clarificados

🏗️ Nueva Estructura de Controles

De 14 Dominios a 4 Temas

ISO 27001:2013 organizaba los controles en 14 dominios. La versión 2022 simplifica a 4 temas:

Estructura 2022 (4 Temas)

  • Controles Organizacionales (37): Políticas, roles, gestión de activos, seguridad RH, gestión de proveedores
  • Controles de Personas (8): Verificación, condiciones de empleo, concienciación y formación
  • Controles Físicos (14): Áreas seguras, seguridad de equipos, servicios públicos, eliminación
  • Controles Tecnológicos (34): Autenticación, criptografía, seguridad de red, registro

Categorización Basada en Atributos

La versión 2022 añade atributos a cada control:

  • Tipo de Control: Preventivo, Detectivo o Correctivo
  • Propiedades de Seguridad de la Información: Confidencialidad, Integridad, Disponibilidad
  • Conceptos de Ciberseguridad: Identificar, Proteger, Detectar, Responder, Recuperar
  • Capacidades Operacionales: Gobernanza, Gestión de Activos, Protección, etc.
  • Dominios de Seguridad: Gobernanza y Ecosistema, Protección, Defensa, Resiliencia

✨ 10 Nuevos Controles en 2022

5.7 Threat Intelligence

Las organizaciones deben ahora recopilar y analizar inteligencia de amenazas relevante para su seguridad de la información. Esto formaliza lo que las organizaciones maduras ya hacen informalmente.

Implementación: Suscripción a feeds de amenazas, monitoreo de avisos de seguridad, seguimiento de vulnerabilidades que afectan su pila tecnológica.

5.23 Seguridad de la Información para Servicios Cloud

Requisitos explícitos para usar, adquirir y gestionar servicios cloud de manera segura. Aborda riesgos específicos del cloud.

Implementación: Evaluaciones de seguridad de proveedores cloud, documentación del modelo de responsabilidad compartida, revisiones de configuración cloud.

5.30 Preparación TIC para Continuidad de Negocio

Asegura que los sistemas TIC están listos para soportar los requisitos de continuidad de negocio. Refuerza el enfoque en resiliencia.

Implementación: Prueba de procedimientos de recuperación ante desastres, verificación de restauración de copias de seguridad, garantizar redundancia.

8.9 Gestión de Configuración

Requiere gestión documentada de la configuración para sistemas relevantes para la seguridad. Previene la deriva de configuración.

Implementación: Infraestructura como Código, líneas base de configuración, seguimiento de cambios.

8.10 Eliminación de Información

Asegura que la información se elimina de forma segura cuando ya no es necesaria. Apoya la minimización de datos.

Implementación: Políticas de retención de datos, procedimientos de eliminación segura, procesos de verificación.

8.11 Enmascaramiento de Datos

Requiere enmascaramiento de datos sensibles cuando sea apropiado. Apoya necesidades de privacidad y pruebas.

Implementación: Anonimización para datos de prueba, redacción en registros, tokenización cuando sea apropiado.

8.12 Prevención de Fuga de Datos

Aborda la prevención de exfiltración de datos y divulgación no autorizada.

Implementación: Herramientas DLP, filtrado de salida, restricciones USB, controles de email.

8.16 Actividades de Monitoreo

Formaliza requisitos para monitorear actividades de usuarios y sistemas.

Implementación: SIEM, agregación de registros, analítica de comportamiento de usuarios.

8.23 Filtrado Web

Requiere filtrado web para prevenir acceso a contenido malicioso.

Implementación: Filtrado DNS, servidores proxy, categorización de URL.

8.28 Codificación Segura

Requisitos explícitos para principios de codificación segura en desarrollo de software.

Implementación: Directrices OWASP, revisiones de código, SAST/DAST, formación en seguridad.

🔄 Guía de Transición para Organizaciones Certificadas

Cronograma de Transición

Fecha Límite: Octubre 2025

  • Octubre 2022: ISO 27001:2022 publicada
  • Octubre 2023: Finaliza período de gracia de 1 año (nuevas auditorías usan versión 2022)
  • Octubre 2025: Finaliza período de transición de 3 años (todos los certificados deben cumplir con 2022)

Pasos de Transición

  1. Análisis de Brecha: Comparar controles actuales con Anexo A 2022
  2. Actualizar Declaración de Aplicabilidad: Mapear controles 2013 a equivalentes 2022
  3. Implementar Nuevos Controles: Abordar los 10 nuevos requisitos
  4. Actualizar Documentación: Revisar políticas para referenciar el estándar 2022
  5. Auditoría Interna: Verificar cumplimiento con nuevos requisitos
  6. Auditoría de Transición: El organismo de certificación evalúa cumplimiento 2022

Desafíos Comunes de Transición

  • Los controles de seguridad cloud pueden requerir nuevas evaluaciones de proveedores
  • Threat intelligence requiere suscripciones/procesos continuos
  • La gestión de configuración necesita automatización
  • La prevención de fuga de datos puede necesitar nuevas herramientas

💡 Consejos Prácticos para Organizaciones Españolas

Lo que la Mayoría de Organizaciones Ya Tienen

Buenas noticias: Muchos de los controles "nuevos" formalizan mejores prácticas existentes:

  • Threat intelligence → Ya monitorizando CVE y noticias de seguridad
  • Seguridad cloud → Ya usando AWS/Azure con cierta seguridad
  • Gestión de configuración → Infraestructura como Código ya implementada
  • Monitoreo → SIEM o agregación de registros ya desplegados

Lo que Requiere Trabajo

Controles que típicamente requieren nueva implementación:

  • Proceso formal de threat intelligence (no solo monitoreo ad-hoc)
  • Evaluaciones documentadas de seguridad cloud (no solo usar servicios cloud)
  • Prevención de fuga de datos (puede requerir herramientas DLP)
  • Estándares de codificación segura (seguridad SDLC formalizada)

Impacto en Costes

Para PYME españolas ya certificadas según 2013:

  • Esfuerzo interno: 40-80 horas para análisis de brecha, actualizaciones de documentación, implementación
  • Auditoría de transición: €2.000-€5.000 (a menudo combinada con auditoría de vigilancia)
  • Nuevas herramientas: €1.000-€3.000 si existen brechas en DLP o monitoreo

¿Necesita apoyo para la transición? Contacte con Hack23 para análisis de brecha y planificación de transición adaptada a organizaciones españolas.

📚 Recursos