<Podemos_ayudarte/>

¿Qué estás buscando?

<Good_things_happen/> Welcome to Conference
>Industria Conectada 4.0 >Las referencias en ciberseguridad se actualizan

Las referencias en ciberseguridad se actualizan

La publicación de la nueva versión de la Norma ISO/IEC 27002 en febrero de 2022, anticipaba los cambios que se iban a realizar. El 25 de Octubre de 2022 se ha publicado la nueva versión de ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información (SGSI).

Además de estas actualizaciones, en mayo 2022 se publicó la nueva versión del Esquema Nacional de Seguridad (ENS). De esta forma, estas referencias para la implantación y mejora de la seguridad en las organizaciones (públicas y privadas) adaptan su realidad normativa al nuevo escenario global TIC.

Son herramientas fundamentales que dan respuesta a los nuevos retos a los que se enfrentan las organizaciones para hacer frente a las ciberamenazas de la sociedad digital actual.

La evolución de las Tecnologías de la Información y las Comunicaciones (TIC) continúa avanzando a pesar de las graves consecuencias ocasionadas por la pandemia del COVID-19, a las que se suman además momentos tan críticos marcados por la invasión de Rusia a Ucrania o el alto coste energético.

En este escenario, la transformación digital se ha acelerado de forma inesperada, teniendo un profundo impacto en las organizaciones, en las industrias y en la sociedad.

Con más de 15 años de historia, la ISO/IEC 27002 es una norma no certificable que ha sido una guía de implantación de controles de seguridad de la información. Sin embargo, está incluida en el Anexo de la ISO/IEC 27001 de Sistema de Gestión de Seguridad de la Información (SGSI), que sí es certificable, como referencia de los controles de seguridad que hay que aplicar, según el análisis de riesgos y conforme a la mejora continua.

De hecho, la publicación de la nueva versión de la ISO/IEC 27002 ha acelerado la actualización de la ISO/IEC 27001, produciéndose esta el 25 de octubre 2022.

La ISO/IEC 27002 proporciona un conjunto de controles generales de seguridad de la información, contemplando para cada uno de ellos una guía de implementación. Se ha diseñado para ser utilizada por las organizaciones públicas y privadas de tres posibles formas:

  1. En el contexto de un SGSI basado en la Norma ISO/IEC 27001 (en su Anexo A de controles para actualizar los 114 a 93 controles).
  2. Para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente.
  3. Para desarrollar sus propias directrices de gestión de la seguridad de la información.

Por su parte la ISO/IEC 27001 ha sufrido cambios menores en sus apartados 4 al 10. Siendo el anexo A. (Controles de Seguridad de la Información), los que se han actualizado de acuerdo con la nueva estructura de la ISO 27002.

El nuevo Real Decreto 311/2022, publicado el pasado 4 de mayo, regula el Esquema Nacional de Seguridad (ENS) y actualiza el publicado en 2010 y su posterior modificación de 2015.

Entre las novedades del nuevo ENS se encuentran:

  • Evolución de los principios básicos: prevención, detección, respuesta y conservación, incluyendo el principio de vigilancia continua.
  • Modificación de la terminología: de la seguridad por defecto a mínimo privilegio.
  • Actualización de los controles/medidas de seguridad pasando de 75 a 73 medidas. Muchas de ellas se mantienen, otras han incrementado su exigencia y otras se han simplificado o eliminado:
    • Marco Organizativo (se mantienen 4)
    • Marco Operacional (de 31 a 33). Hay que destacar la incorporación de controles en entornos cloud (nube).
  • Marco de Protección (de 40 a 36)
  • Incorporación de la figura del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al ENS más eficaz y eficiente.
  • Establecimiento de un protocolo de actuación ante ciberincidentes donde se establecen las condiciones de notificación al CCN-CERT (Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN).
  • Nuevo sistema de codificación de los requisitos de las medidas de seguridad (refuerzos), cuyo objeto es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.

Actualmente, AENOR es líder en certificación de ISO 27001 y ENS, con más de 900 organizaciones certificadas por AENOR en estos sistemas; con ello se demuestra que las organizaciones confían en estas herramientas para desempeñar sus actividades con resiliencia, calidad y seguridad en el ámbito TIC, siendo de apoyo a la transformación digital.

Autor: Marta Allue Garijo, Coordinadora Técnica de Certificación (TIC) de AENOR

LinkedIn: Marta Allue Garijo