El binomio perfecto para la ciberseguridad: ISO/IEC 27001 y ENS
La evolución de las TIC no cesa. La transformación digital y su vertiginosa velocidad está impactando las organizaciones, la industria y la sociedad. Vivimos en nuevos escenarios tecnológicos como SMAC (Social-Mobility-Analytics-Cloud), y experimentamos nuevas posibilidades en la denominada Industria 4.0. La comunicación 5G y los modelos de Inteligencia Artificial y Machine Learning, todo ello, dirigido por los datos, crean un escenario donde surgen nuevas ciberamenazas y ciberriesgos.
Según el Global Risks Report 2018 del World Economic Forum, los ciberataques y el robo de los datos, son la tercera y cuarta causa más importantes de riesgos cibernéticos. Adicionalmente, ISMSForum y la Asociación Española de Gerencia de Riesgos y Seguros, apuntan como los tres principales ciberriesgos la fuga de información, el ransomware y el Phishing. Finalmente, el Instituto Nacional de Ciberseguridad de España, estima que el 66 % de las organizaciones de más de diez empleados no dispone de una política de seguridad y que solo el 38,5 % adoptan una actitud preventiva.
En este marco, AENOR diseñó el Modelo de Ciberseguridad y Privacidad basado en estándares internacionales ISO, así como en actuales leyes y reglamentaciones españolas y europeas que actúan como herramientas básicas para la prevención y defensa en ciberseguridad. Se trata del estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información y el Real Decreto Español 3/2010 por el que se regula el Esquema Nacional de Seguridad (ENS), que consideran aspectos claves: el análisis, gestión y mitigación de los ciberriesgos en las TIC de las organizaciones; los principales controles para una protección adecuada de la información, los servicios y sistemas de la organización, y el ciclo de mejora continua (PDCA-Plan, Do, Check, Act).
Por un lado, la norma ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información tiene como objetivo implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC, siendo considerado como el medio más eficaz para minimizar los riesgos, al asegurar que se identifican y valoran los procesos de negocio o servicios de Tecnologías de la Información, activos y sus riesgos, determinando el impacto para la organización.
Por otro lado, el Real Decreto 3/2010, por el que se regula el ENS, establece la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Crea las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad que garantizan la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos. El ENS es de aplicación a las Administraciones Públicas españolas (Administración General del Estado, Comunidades Autónomas, Entidades Locales) y a aquellas organizaciones privadas que les proveen servicios o soluciones tecnológicas.
AENOR ha sido pionera en conseguir la acreditación por ENAC para la certificación de conformidad con el ENS, y es la única acreditada para emitir los certificados basados en la norma ISO/IEC 27001 de Sistema de Seguridad de la Información e ISO 22301 de Sistema de Gestión de Continuidad de Negocio.
Es un hecho que la ISO/IEC 27001 y el ENS en España podrán ser las referencias base para construir las futuras certificaciones de la UE, ya que aquellas organizaciones que consigan estas certificaciones con AENOR estarán dando respuesta a cuestiones fundamentales de las organizaciones, como la alineación a los objetivos de negocio o su preparación para integrarse en las nuevas normativas y reglamentaciones de ciberseguridad.
Boris Delgado Riss, Gerente de TIC en AENOR
Carlos Manuel Fernández, Asesor Estratégico de TI en AENOR
Links de referencia:
ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad
