La norma ISO, referente en cuanto a seguridad de la información, está experimentando cambios, tal y como informa Carlos A. Navarro Bilbao, auditor jefe Sales Area Manager DNV Iberia.
"La familia ISO27000 aglutina normas y guías diseñadas para reservar la confidencialidad, Integridad y disponibilidad de la información. Estos aspectos con relevantes en todos los sectores, pero especialmente en el sanitario, no solo por la repercusión pública y riesgo reputacional que pueden conllevar un fallo, sino porque el riesgo que puede suponer para la eficacia de sus procesos y resultados en paciente", asevera.
El pasado 15 de febrero se ha publicado la ISO/IEC 27002:2022 y su nombre ha cambiado de “Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información” a “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”.
"La preocupación creciente por los hackeos y ciberataques varios, tiene una cabida prioritaria en esta revisión", explica Navarro Bilbao. De hecho, el número de controles se ha rebajado desde los 114 repartidos en 14 claúsulas en la edición 2013, a 93 controles de la 202,2.
Estos controles se han enfocado en 4 temas principales: controles organizativos, controles asociados al factor humano, controles físicos y controles tecnológicos. De estos 93 controles, 11 son nuevos comparados con la edición 2013, 24 surgen de la fusión de varios y 58 se han actualizado.
"La guía para cada control se ha revisado y actualizado para reflejar los desarrollos y práctica actuales y cada control se ha detallado, disponiendo de su propósito, y un conjunto de atributos también relacionados con ciberseguridad y otras buenas prácticas", añade el experto.
Respecto al estándar certificable, ISO27001:2022, todavía está en la fase de borrador final (Final draft) y sus cambios se limitarán al Anexo A para alinear el conjunto de controles con la guía antes referida. En cuanto a las organizaciones certificadas 27001:2013, se espera que al menos revisen su evaluación de riesgos e identifiquen los nuevos controles aplicables, así como revisar la declaración de aplicabilidad comprándola con el Anexo A revisado.
"Recordemos que la 27001 no considera requisitos de obligado cumplimiento los controles del Anexo A, sino a usarlos como referencia para el proceso de comparación (6.1.3.c) y para generar la Declaración de Aplicabilidad (6.1.3.d).
Se espera que la edición final de ISO27001 se publique después del verano de 2022. Para la transición de la edición de ISO27001:2013 a 2022, se darán 2 años según un borrador IAF editado, frente a los 3 años de transiciones previas", manifiesta.