Analysis between ISO/IEC 27001:2022 versus ISO/IEC 27001:2013 and the Implementation of the new controls in a Management System, in financial entities, software development and an IT infrastructure services company

Abstract

El presente Trabajo Final de Máster (TFM) desarrolla un análisis de implementación de los nuevos controles establecidos en la más reciente versión publicada por ISO (International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC)), del estándar ISO/IEC 27001:2022 en comparativa con la versión anterior ISO/IEC 27001:2013. Se plantea cómo es la nueva estructura de los 114 controles que fueron actualizados, tras casi una década después, los nuevos 11 controles que se incluyen en esta versión y cómo pueden ser estos implementados. Para ello, se toma como ejemplo 3 perfiles de cliente: una financiera, una empresa de desarrollo de software y una empresa que brinda servicios de infraestructura de TI. El desarrollo de este trabajo brindará mayor visibilidad a las instituciones que ya cuenten con una certificación ISO/IEC 27001:2013 y cómo harían esa migración a la implementación de los nuevos controles dentro de los lapsos permitidos. También se realiza la actualización de los tratamientos de riesgos bajo los nuevos controles, la adaptación de las métricas, objetivos e incluso sus Políticas y Procedimientos dentro del SGSI. Entre los cambios más relevantes en la actualización, se encuentra la eliminación del “Código de Prácticas”. En la nueva versión de la norma ahora se plantea: “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información” por lo que se observará durante el desarrollo de este trabajo, la inclusión de prácticas basadas en ciberseguridad y la protección de los datos. Lo mismo ocurrirá a nivel de estructura, dentro de sus nuevas 4 categorías; organizativo, gente, físico y tecnológico, enfocándose este trabajo principalmente en la implementación donde se encuentran dichos cambios, es decir, a nivel organizativo y tecnológico. Esta puesta en marcha se realizará para el próximo abril 2024, por lo que se cuenta con el tiempo suficiente para demostrar la actualización de las organizaciones a la nueva versión y la implementación de organizaciones en el estándar ISO/IEC 27001:2022.This final master’s project (TFM) develops an implementation analysis of the new controls stablished in the most recent version published by ISO (International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC)), of the ISO/IEC 27001:2022 standard in comparative with the previous version ISO/IEC 27001:2013. The new structure of the 114 controls that were updated, after a decade later, the new eleven controls that are included in this version and how they can be implemented. Three type of customer profiles are taken as an example: one financial, one software development company and one company that provides IT infrastructure services. The development of this work will provide greater visibility to the organizations that already have an ISO/IEC 27001:2013 certificate and how they would make this migration to the implementation of the new controls within the allowed periods. The risk treatment is also updated under the new controls, the adaptation of the metrics, objectives and even its Policies and Procedures within the Information Security Management system (ISMS). Among the most relevant changes in the update, is the elimination of the "Code of Practices". In the updated version of the standard, it now states: "Information security, cybersecurity and privacy protection - Information security controls,” therefore, during the development of this work, the inclusion of practices based on cybersecurity and data protection will be observed. The same will happen at the structure level, within its new four categories; organizational, people, physical and technological, this work focusing on the implementation where these changes are found, that is, at the organizational and technological level. This start-up will take place in April 2024, so there is enough time to demonstrate the updating of organizations to the updated version and the implementation of organizations in the ISO/IEC 27001:2022 standard.Máster Universitario en Dirección de Proyectos Informáticos (M133