SEMINARIO WEB:
ISO 27001:2022 ACTUALIZACIÓN
Presentado por:
Andres Gutierrez, Presidente, ControlCase LATAM

Agenda
2
A. Introducción a ControlCase
B. Visión general del Conjunto de Estándares ISO
C. ¿Cuáles son las actualizaciones de la 27001:2022?
1. Revisión de las actualizaciones
2. Resumen de los cambios
3. Cronograma
4. Impacto de los cambios
D. Preguntas y respuestas
© 2021 ControlCase. Todos los derechos reservados

INTRODUCCIÓN A CONTROLCASE
1
© 2021 ControlCase. Todos los derechos reservados 3

ControlCase Visión General
4
SERVICIOS DE CERTIFICACIÓN Y CUMPLIMIENTO CONTINUO
Vé más allá de la lista del auditor:
Reduce drásticamente el tiempo, costo y esfuerzo que implican obtener la certificación y mantener el cumplimiento de IT.
• Demostrar el cumplimiento de forma más
eficiente y rentable (certidumbre de
costos)
• Mejorar la eficiencia
⁃ Haz más con menos recursos y goza de
la tranquilidad de cumplir con los
requerimientos
• Libera recursos internos para que puedan
enfocarse en sus prioridades
• Delega la carga del cumplimiento a un
socio de confianza
1,000+ 275+
10,000+
CLIENTES CERTIFICACIONES DE
SEGURIDAD IT
EXPERTOS EN
SEGURIDAD
© 2021 ControlCase. Todos los derechos reservados

Solución
© 2021 ControlCase. Todos los derechos reservados 5
Servicios de Certificación y Cumplimiento
Continuo
“
He trabajado en ambos lados de la
auditoría. No he visto ninguna otra
empresa entregar el mismo valor de
producto y servicio. Ninguna otra
empresa proporciona esa mejora
continua y el nivel de detalle y capacidad
de respuesta.
— Gerente de Seguridad y Cumplimiento,
Centro de Datos
Enfoque de
asociación
Servicios de
cumplimiento
continuo
Enfoque en la
automatización
Servicios de
certificación
IT

ISO27001/ 2 CMMC RPO SOC 1,2,3,&
Cybersecurity
HITRUST CSF
HIPAA PCI DSS GDPR NIST 800-53
PCI PIN PCI PA-DSS FedRAMP PCI 3DS
One Audit™
Evaluar una vez. Complir con muchos.
Servicios de Certificación
6
“
Tienes 27 segundos para causar una
buena primera impresión. Y después de
nuestra reunión inicial, quedó claro que
estaban más interesados en ayudar a
nuestro negocio y establecer una
relación, que en solo cerrar el negocio
con nosotros.
— Sr. Director, Riesgo de la Información y
Cumplimiento, Gran comerciante
© 2021 ControlCase. Todos los derechos reservados

Tablero de la ISO para One Audit™
7
© 2021 ControlCase. Todos los derechos reservados

VISIÓN GENERAL DEL CONJUNTO DE
ESTÁNDARES ISO
B.
8
© 2021 ControlCase. Todos los derechos reservados

¿Qué es la ISO 27001?
9
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN
(ISO por sus siglas en inglés)
ISO/IEC 27001 (CONOCIDA COMO ISO 27001) ES PARTE DE LA FAMILIA DE ESTÁNDARES ISO/IEC 27000
Centrado en la seguridad
de la información y en
permitir que las
organizaciones gestionen
activos de seguridad.
ISO 27001 proporciona
los requisitos para un
Sistema de gestión de
seguridad de la
información (SGSI).
Adopta un enfoque
basado en el riesgo para
gestionar la seguridad de
la información.
© 2021 ControlCase. Todos los derechos reservados

ISO 27001 vs ISO 27002
10
• ISO 27001 es el marco central de la serie ISO 27000
relacionada con la gestión de la seguridad de la
información.
• Enumera cada aspecto requerido para el SGSI.
• ISO 27001 contiene requisitos para la implementación de
un SGSI.
• ISO 27001 es una certificación.
27001 27002
• ISO 27002 es una norma complementaria que se centra
en los controles de seguridad de la información que las
organizaciones pueden optar por implementar.
• Trata únicamente los controles de seguridad de la
información.
• ISO 27002 no es una certificación.
© 2021 ControlCase. Todos los derechos reservados

¿Qué es la norma ISO 27701?
11
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN
(ISO por sus siglas en inglés)
La ISO/IEC 27701 es una extensión de privacidad de la ISO/IEC 27001 y la ISO/IEC 27002 y proporciona
orientación adicional para la protección de la privacidad, la cual se ve potencialmente afectada por la
recopilación y procesamiento de información personal.
© 2021 ControlCase. Todos los derechos reservados

¿Qué son la ISO 27017 y la 27018?
12
Técnicas de seguridad — Código de prácticas para controles de
seguridad de la información basado en ISO/IEC 27002 para servicios
en la nube.
27017 27018
Técnicas de seguridad - Código de prácticas para la protección de
información de identificación personal (PII) en nubes públicas que
actúan como procesadores de PII.
• Ambas son extensiones
complementarias de la norma
ISO 27001.
• Todas las cláusulas y anexos
se aplican igual que la norma
ISO 27001 principal.
• No puede realizar ninguna de
estas sin la ISO 27001.
• ControlCase no puede
realizarlos si otra persona ha
hecho la evaluación ISO
27001.
© 2021 ControlCase. Todos los derechos reservados

¿Qué es SGSI?
Un SGSI (Sistemas de Gestión de Seguridad de la Información) es un marco de políticas y
procedimientos que incluye todos los controles legales, físicos y técnicos involucrados en los
procesos de gestión de riesgos de la información de una organización.
13
© 2021 ControlCase. Todos los derechos reservados

Cumplimiento vs Certificación
14
ISO 27001 CUMPLIMIENTO
Significa que la organización sigue el
estándar ISO 27001.
ISO 27001 CERTIFICACIÓN
Significa que el Sistema de Gestión de
Seguridad de la Información ISO 27001 de
la organización ha sido certificado de
conformidad con la norma por auditores
conocidos como Organismos de
Certificación (como lo es ControlCase
InfoSec).
© 2021 ControlCase. Todos los derechos reservados

¿Quién necesita la certificación ISO 27001?
Cualquier organización que desee o esté obligada a formalizar y mejorar los procesos comerciales en
torno a la seguridad de la información, la privacidad y la protección de sus activos de información.
El tamaño/facturación de una empresa no dicta la necesidad de ISO 27001.
15
© 2021 ControlCase. Todos los derechos reservados

Evaluación del Complemento de Privacidad (ISO 27701)
16
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN
(ISO por sus siglas en inglés)
• Requiere tiempo adicional de
evaluación.
• Depende de si la entidad es un
controlador de PII o un
procesador de PII o ambos.
CONTROLADOR PII
• Cubre áreas como contratos y
obligaciones con el consumidor.
• Cubre objetivos de retención y
disposición.
PROCESADOR PII
• Cubre áreas como el marketing
y el uso publicitario.
• Cubre las reglas de PII entre
organizaciones y entre países.
© 2021 ControlCase. Todos los derechos reservados

¿Cuán seguido necesitas la certifiación ISO 27001?
17
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN
(ISO por sus siglas en inglés)
La certificación ISO es válida por 3 años.
Se requieren auditorías de vigilancia en los
años 2 y 3.
© 2021 ControlCase. Todos los derechos reservados

Metodología de Certificación ControlCase – AÑO 1
18
EVALUACIÓN PREVIA ITERATIVA AUDITORÍA ISO ETAPA 1 AUDITORÍA ISO ETAPA 2 ENTREGAS
• Evaluación previa consolidada
(evaluación ControlCase 250).
• Uso del centro de cumplimiento
de ControlCase y la lista
integrada.Evaluación de políticas
y procedimientos.
• Múltiples rondas de evaluación
antes de la Etapa 1 y la Etapa 2
de la auditoría.
En el sitio/ Remota
Promedio de 4 días
En el sitio/ Remota
Promedio de 6 días
• Certificado ISO 27001 emitido.
• Documentos de extensión
publicados.
FASE FASE
3
1 2
FASE
Mínimo 10 días entre etapa 1 y 2
2A 2B
TIEMPO PROMEDIO PARA LA FASE 1 a 3 ES DE 6 MESES
© 2021 ControlCase. Todos los derechos reservados

Auditorías de Vigilancia ISO – AÑO 2 y AÑO 3
19
ISO 27001 REQUIERE QUE LAS AUDITORÍAS DE
VIGILANCIA SE COMPLETEN PARA LOS AÑOS 2 Y 3.
Las auditorías de vigilancia son mini
auditorías que evalúan si el sistema de
gestión del cliente certificado aún cumple
con la norma ISO 27001.
Las auditorías de vigilancia no son
auditorías completas del sistema.
© 2021 ControlCase. Todos los derechos reservados

Desafíos Generales del Cumplimiento
20
Aparta a las personas de
sus responsabilidades
principales.
Probar y mantener el cumplimiento supone una
carga importante para las organizaciones.
Ejerce presión en
recursos
económicos
ORGANIZATIONS STRUGGLE WITH:
Dealing with multiple
regulations.
Keeping up with changing
regulations and
compliance requirements.
Understanding and
translating compliance
frameworks.
The lack of visibility into
their compliance posture.
The time spent
preparing for audits.
EL ENFOQUE TRADICIONAL DE VERIFICAR LA LISTA DEL AUDITOR NO ES SUFICIENTE.
© 2021 ControlCase. Todos los derechos reservados

Desafíos Comunes de la ISO 27001/27701
Socio Comercial Gestión de
Vulnerabilidad
Registro y Monitoreo Cifrado Políticas PII
y Entrenamiento
• Acuerdos a
formalizar
• Proceso de gestión
de proveedores.
• Gestión periódica
de vulnerabilidades
• Dispositivos de
parcheo
• Reescritura del
código de la
aplicación
• Monitoreo
24X7X365
• Gestión del
volumen de
registros
• Cifrado de PII • Capacitación anual
• Políticas y
procedimientos de
PII documentados
21
© 2021 ControlCase. Todos los derechos reservados

¿CUÁLES SON LAS
ACTUALIZACIONES DE LA
27001:2022?
C.
22
© 2021 ControlCase. Todos los derechos reservados

¿Cuáles son las actualizaciones de la 27001:2022?
23
No hay cambios
importantes en la ISO
27001: 2013
Cláusulas Obligatorias 4 a
10.
Los Controles de
Seguridad contenidos
en el Anexo A han
disminuido de 114 a 93.
Los controles (ISO 27002:2022)
ahora están agrupados en 4
dominios principales (en lugar
de los 14 anteriores) y están
etiquetados para facilitar su uso
y referencia.
• Controles organizacionales
• Controles de personas
• Controles físicos
• Controles tecnológicos
Se introdujeron
nuevos controles.
Aunque ninguno se
eliminó, muchos
controles se fusionaron,
lo que redujo el número
total.
RESUMEN DE LOS CAMBIOS
© 2021 ControlCase. Todos los derechos reservados

Cuatro Dominios Principales para la ISO 27002:2022
24
CONTROLES
ORGANIZACIONALES
CONTROLES DE PERSONAS
CONTROLES FÍSICOS CONTROLES TECNOLÓGICOS
© 2021 ControlCase. Todos los derechos reservados

¿Cuáles son las Actualizaciones de Control de la 27002:2022?
25
Inteligencia de
amenazas
Seguimiento de la
seguridad física
Enmascaramiento de
datos
Filtrado web
Seguridad de la
información para el uso
de servicios en la nube
Gestión de la
configuración
Prevención de fuga de
datos
Codificación segura
Preparación de las TIC
para la continuidad del
negocio
Eliminación de
información
Actividades de
seguimiento
© 2021 ControlCase. Todos los derechos reservados

ISO 27002: Controles Organizacionales
Políticas de seguridad de la información Devolución de activos
Abordar la seguridad de la información en
los acuerdos con los proveedores
Seguridad de la información durante
interrupciones
Segregación de deberes Clasificación de la información
Gestión de la seguridad de la información
en la cadena de suministro de las TIC
Preparación de las TIC para la continuidad
del negocio (nuevo)
Responsabilidades de gestión Etiquetado de información
Seguimiento, revisión y gestión de cambios
de servicios de proveedores
Requisitos legales, estatutarios,
reglamentarios y contractuales
Contacto con las autoridades Transferencia de información
Seguridad de la información para el uso de
servicios en la nube (nuevo)
Derechos de propiedad intelectual
Contacto con grupos de interés especial Control de acceso
Planificación y preparación de la gestión de
incidentes de seguridad de la información
Protección de registros
Inteligencia de amenazas (nuevo) Gestión de identidad
Evaluación y decisión sobre eventos de
seguridad de la información
Privacidad y protección de PII
Seguridad de la información en la gestión
de proyectos
Información de autenticación
Respuesta a incidentes de seguridad de la
información
Revisión independiente de la seguridad de
la información
Inventario de información y otros activos
asociados
Derechos de acceso
Aprender de los incidentes de seguridad de
la información
Cumplimiento de políticas, normas y
estándares de seguridad de la información
Uso aceptable de la información y otros
activos asociados
Seguridad de la información en las
relaciones con los proveedores
Recolección de evidencia Procedimientos operativos documentados
26
© 2021 ControlCase. Todos los derechos reservados

ISO 27002: Controles Físicos
Perímetros físicos de seguridad
Aseguramiento de oficinas, salas e instalaciones
Monitoreo de seguridad física (nuevo)
Protección contra amenazas físicas y ambientales
Trabajo en áreas seguras
Escritorio despejado y pantalla despejada
Ubicación y protección de equipos
Seguridad de los activos fuera de las instalaciones
Medios de almacenamiento
Utilidades de apoyo
Seguridad del cableado
Mantenimiento del equipo
Eliminación segura o reutilización de equipos
27
© 2021 ControlCase. Todos los derechos reservados

Control 7.14: Eliminación segura o reutilización de equipos
(ejemplo)
28
© 2021 ControlCase. Todos los derechos reservados

Cronograma de adopción
29
Cualquier auditoría ISO 27001 que se realice
después de octubre de 2025 debe realizarse en el
marco de la nueva versión.
Las empresas pueden optar voluntariamente por
certificarse con ControlCase según la revisión ISO
27002:2022 a mediados de 2023.
© 2021 ControlCase. Todos los derechos reservados

Próximos Pasos
30
Las empresas deben
revisar su registro de
riesgos y los tratamientos
de riesgo aplicados para
garantizar la alineación
con la norma revisada.
Actualice la Declaración
de Aplicabilidad (SoA,
por sus siglas en inglés
Statement of
Applicability) para
alinearla con el Anexo A
actualizado.
Revise y actualice su
documentación, incluidas
las políticas y los
procedimientos para
cumplir con los nuevos
controles.
Obtenga una auditoría
según la nueva norma
ISO 27001:2022 con un
auditor certificado como
ControlCase
Paso 1 Paso 2 Paso 3 Paso 4
© 2021 ControlCase. Todos los derechos reservados

PREGUNTAS Y RESPUESTAS
D.
31
© 2021 ControlCase. Todos los derechos reservados

GRACIAS POR LA OPORTUNIDAD DE
CONTRIBUIR AL PROGRAMA DE
CUMPLIMIENTO DE IT.
www.controlcase.com
contact@controlcase.com
Descarga ISO 27001 Lista de Cumplimiento
ISO 27001 Blog de Cumplimiento
Agenda ISO 27001 Discusión sobre Cumplimiento