ISO 27001:2022 frente a 2013
La seguridad de la información es un tema importante para las empresas de todos los tamaños, y las PYME no son una excepción. La norma ISO 27001, reconocida internacionalmente, se ha actualizado recientemente para responder mejor a los retos actuales.
En este artículo, exploraremos las diferencias clave entre las versiones 2013 y 2022 de ISO 27001 y explicaremos cómo estos cambios pueden ayudar a las pymes a convertir sus incidentes de seguridad en lecciones de cumplimiento, reforzar su seguridad y mejorar su gestión de incidentes, incluso sin certificación.
Por qué la norma ISO 27001 es crucial para las PYME
A menudo se considera a las PYME blanco fácil de ciberataques debido a sus limitados recursos de seguridad.
La adopción de la norma ISO 27001 permite a las PYME implantar un sólido Sistema de Gestión de la Seguridad de la Información (SGSI) y seguir prácticas probadas para proteger su información sensible. Incluso sin certificación, seguir los principios de esta norma proporciona un marco valioso para mejorar la seguridad y la gestión de incidentes.
Principales cambios en la versión de 2022
Norma ISO 27001
La versión 2022 de la norma ISO 27001 introduce varios cambios importantes con respecto a la versión de 2013:
Reducción del número de medidas de seguridad
- Nueva estructura de las medidas: las 93 medidas de seguridad se dividen ahora en 4 categorías en lugar de 14: organizativas, relacionadas con las personas, físicas y tecnológicas;
- Nuevas medidas introducidas: se han añadido 11 nuevas medidas, como la inteligencia sobre amenazas (A.5.7), el uso de servicios en la nube (A.5.23) y la gestión de la configuración (A.8.9).
Requisitos para los interesados
- Los requisitos de las partes interesadas deben abordarse mediante
el SGSI (§ 4.2).
Planificación y gestión del cambio
Introducción de un nuevo apartado para las modificaciones de planificación (§ 6.3);
Adición de la necesidad de establecer criterios para los procesos (§ 8.1).
Comunicación y control
Cambio de enfoque: cómo comunicar en lugar de quién debe comunicar (§ 7.4);
Los resultados de los métodos de seguimiento, medición, análisis y evaluación deben ser comparables y reproducibles (§ 9.1).
Gestión de procesos externos
Incorporación del control de procesos, productos y servicios externos (§ 8.1).
Transformar los incidentes de seguridad
en lecciones de cumplimiento
Una gestión eficaz de los incidentes es esencial para minimizar el impacto de los incidentes de seguridad y mantener la conformidad. He aquí cómo la norma ISO 27001:2022 ayuda a las PYME a lograr este objetivo:

Identificación y registro de incidentes
Establecer un sistema para identificar, registrar y clasificar los incidentes de seguridad;
- Utilice una plataforma como la que ofrece nuestra empresa para centralizar la gestión de incidencias.
Respuesta y resolución
Establecer procedimientos para responder rápida y eficazmente a los incidentes;
- Las medidas del Anexo A (A.5.24 a A.5.27) de la norma ISO 27001:2022 proporcionan directrices para la gestión de incidentes.


Recopilación y análisis de pruebas
Integrar los procesos de recopilación de pruebas y análisis posterior al incidente para comprender las causas y evitar que se repitan;
- Utilizar herramientas de supervisión y registro para documentar los incidentes (A.8.16).
Comunicación e informes
Garantizar una comunicación clara y periódica de los incidentes a las partes interesadas;
- Utilice cuadros de mando e informes para supervisar y analizar las tendencias de los incidentes.


Mejora continua
Revisar periódicamente los procedimientos de gestión de incidentes y aplicar mejoras basadas en la experiencia adquirida;
- Utilizar los resultados del análisis de incidentes para mejorar los controles de seguridad y reducir los riesgos residuales.
¿En conclusión?
La actualización de la norma ISO 27001 a 2022 aporta cambios significativos que pueden beneficiar enormemente a las pymes al reforzar su seguridad, simplificar la gestión de incidentes y mejorar el cumplimiento de la normativa. Al adoptar estos nuevos requisitos, incluso sin una certificación formal, las pymes no solo pueden proteger su información sensible, sino también ganar en eficiencia operativa.

¿Está listo para simplificar su certificación ISO?
Para obtener más información sobre cómo nuestra completa plataforma de gobernanza puede ayudar a su organización a cumplir la norma ISO 27001:2022 y gestionar los incidentes de forma eficaz, póngase en contacto con Contacto.