La Asociación Española de Normalización, UNE, ha lanzado las últimas ediciones de las Normas UNE-ISO/IEC 27001:2023 y UNE-EN ISO/IEC 27002:2023, con el objetivo de fomentar la seguridad cibernética y la digitalización.
Estas normas, la UNE-ISO/IEC 27001:2023 «Seguridad de la información, ciberseguridad y protección de la privacidad. Requisitos para los sistemas de gestión de seguridad de la información» y la UNE-EN ISO/IEC 27002:2023 «Seguridad de la información, ciberseguridad y protección de la privacidad. Código de práctica para el control de la seguridad de la información (ISO/IEC 27002:2022)», fortalecen el marco estandarizado para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema se puede integrar perfectamente con otros sistemas de gestión internacionales, como ISO/IEC 9001 (calidad), ISO/IEC 14001 (medio ambiente) o ISO/IEC 22301 (continuidad del negocio).
Las nuevas versiones de las normas UNE-ISO/IEC 27001:2023 y UNE-EN ISO/IEC 27002:2023 presentan actualizaciones significativas para mantenerse al día con los cambios rápidos y en constante evolución en el ámbito de la ciberseguridad y la protección de la privacidad. Estas actualizaciones incluyen la incorporación de nuevos controles y la simplificación de la gestión mediante la fusión de controles existentes.
Entre los controles recién agregados, se destacan aquellos relacionados con la inteligencia de amenazas, los servicios en la nube, el filtrado web y la codificación segura. Estos cambios reflejan la creciente complejidad y sofisticación de las amenazas a la seguridad de la información en el entorno digital.
En términos de simplificación, se ha consolidado el control «Inventario de la información y otros activos», que ahora combina los controles previos relacionados con el inventario de activos y su propiedad. Esta consolidación tiene como objetivo hacer más eficiente la gestión de la seguridad de la información.
La nueva edición de la norma UNE-EN ISO/IEC 27002:2023 organiza los 93 controles definidos en cuatro cláusulas: Controles de la Organización (37), Controles enfocados a Personas (8), Controles Físicos (14) y Controles Tecnológicos (34). Esta estructura refleja una visión más integrada y holística de la seguridad de la información.
Además, se ha dado un enfoque especial a la gestión de proveedores en la norma. Reconociendo los riesgos inherentes a la cadena de suministro, la norma propone un control más exhaustivo en esta área para identificar y abordar posibles brechas de seguridad.
Asimismo, las nuevas versiones de estas normas son fundamentales para adaptarse al contexto actual de la seguridad de la información, facilitando su integración con el Esquema Nacional de Seguridad y simplificando su implementación práctica.
