Los 11 nuevos controles de ISO 27001:2022 explicados

La actualización de ISO 27001:2022 introdujo 11 controles completamente nuevos en el Anexo A que reflejan la evolución del panorama de amenazas y la transformación digital. Estos controles abordan áreas como la inteligencia de amenazas, la seguridad en la nube, la prevención de fuga de datos y la codificación segura. Aquí analizamos cada uno en detalle.

Controles organizacionales nuevos

A.5.7 — Inteligencia de amenazas

Requiere que la organización recopile y analice información sobre amenazas a la seguridad de la información. Esto incluye suscribirse a feeds de inteligencia de amenazas (CERT Chile, CSIRT, ISACs sectoriales), analizar tendencias de ataques relevantes al sector, compartir información con organizaciones pares y usar la inteligencia para actualizar la evaluación de riesgos y los controles. Para las pymes, esto puede ser tan simple como suscribirse a las alertas del CSIRT de Gobierno y revisar los boletines de seguridad de los proveedores tecnológicos clave.

A.5.23 — Seguridad de la información para uso de servicios en la nube

Exige establecer procesos para la adquisición, uso, gestión y salida de servicios en la nube. Incluye definir requisitos de seguridad para cada servicio cloud, verificar los controles del proveedor (certificaciones, SLAs), gestionar las responsabilidades compartidas, proteger los datos en la nube y planificar la estrategia de salida.

A.5.30 — Preparación de TIC para la continuidad del negocio

La infraestructura TIC debe estar preparada para mantener las operaciones durante interrupciones. Complementa a ISO 22301 exigiendo un análisis de impacto en el negocio (BIA) para los servicios TIC, estrategias de continuidad tecnológica, planes de recuperación de TIC documentados y probados, y recursos redundantes donde sea necesario.

Controles físicos nuevos

A.7.4 — Supervisión de seguridad física

Las instalaciones deben monitorearse continuamente para detectar accesos físicos no autorizados. Esto incluye sistemas de CCTV, sensores de movimiento, sistemas de alarma, monitoreo de puertas y puntos de acceso, y registros de acceso revisados regularmente.

Controles tecnológicos nuevos

A.8.9 — Gestión de la configuración

Las configuraciones de hardware, software, servicios y redes deben establecerse, documentarse, implementarse, monitorearse y revisarse. Esto incluye configuraciones base (hardening), gestión de cambios en configuraciones, revisión periódica contra las líneas base, y automatización de la gestión de configuración donde sea posible.

A.8.10 — Eliminación de información

La información almacenada en sistemas, dispositivos o medios debe eliminarse cuando ya no es necesaria. Los métodos deben ser apropiados al nivel de sensibilidad: borrado lógico para información no sensible, sobreescritura segura para datos confidenciales, destrucción física para información altamente clasificada o medios dañados.

A.8.11 — Enmascaramiento de datos

Técnicas para proteger datos sensibles en ambientes de desarrollo, pruebas y análisis: pseudonimización, anonimización, tokenización, generalización y perturbación. Especialmente relevante para cumplir con la Ley 21.719 de protección de datos personales.

A.8.12 — Prevención de fuga de datos (DLP)

Medidas para prevenir la divulgación no autorizada de información. Incluye soluciones DLP que monitorean el correo electrónico, la web, dispositivos USB, servicios cloud y endpoints para detectar y bloquear transferencias no autorizadas de datos sensibles.

A.8.16 — Actividades de monitoreo

Las redes, sistemas y aplicaciones deben monitorearse para detectar comportamiento anómalo y eventos de seguridad. Esto involucra monitoreo de red, endpoints, aplicaciones y bases de datos; detección de anomalías, correlación de eventos (SIEM), y alertas automatizadas.

A.8.23 — Filtrado web

Controlar el acceso a sitios web externos para reducir la exposición a contenido malicioso. Las categorías típicas a filtrar incluyen malware, phishing, contenido inapropiado y sitios de alto riesgo.

A.8.28 — Codificación segura

Principios de desarrollo seguro de software aplicados al ciclo de vida del desarrollo. Incluye prácticas de codificación segura, revisión de código, análisis estático (SAST), gestión de dependencias y pruebas de seguridad.

Profundiza con nuestras guías sobre la transición a 2022, los controles tecnológicos y la seguridad en la nube.