Se ha revisado una importante norma de seguridad de la información

Control continuo: Nuevas directrices sobre los controles de gestión de la seguridad de la información

Una norma internacional de ciberseguridad recientemente revisada está ayudando a los profesionales de la seguridad de la información a considerar e implantar controles de seguridad de la información para hacer frente a los últimos riesgos de seguridad de la información. Esta entrada del blog describe lo que ofrece la norma revisada y los beneficios que obtendrán las empresas al utilizarla.

En un mundo en el que la seguridad de los datos es esencial para todas las organizaciones y dado el ritmo de cambio de la tecnología y los riesgos de ciberseguridad, mantener los sistemas y procesos al día con el cambiante panorama de la seguridad de la información debe ser una prioridad. 

ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de seguridad de la información es la norma internacional recientemente revisada que proporciona orientación sobre la selección e implantación de controles de seguridad para su uso dentro de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en los requisitos de la norma BS EN ISO/IEC 27001.

La revisión de esta norma aporta un enfoque moderno a la gestión de los controles de seguridad con atributos. Incluye la introducción de temas y atributos, así como la actualización de un conjunto de controles para reflejar las preocupaciones y prácticas actuales en materia de seguridad de la información. La norma ISO/IEC 27002:2022 pretende proporcionar a las empresas, de cualquier tamaño y sector, una nueva generación de orientaciones sobre controles de seguridad, con el objetivo de que las orientaciones se modernicen, simplifiquen y sean versátiles para conceder a las organizaciones la autonomía necesaria para seleccionar y delimitar los controles de seguridad como consideren oportuno.

¿Cómo funcionan conjuntamente las normas ISO/IEC 27002 y BS EN ISO/IEC 27001?

La norma BS EN ISO/IEC 27001 proporciona los componentes esenciales y la estructura para que su organización logre una gestión eficaz de la seguridad de la información.  Uno de estos componentes esenciales es el despliegue de controles de seguridad de la información adecuados. Estos controles deben ser cuidadosamente evaluados y considerados en función del perfil de riesgo y las necesidades de su organización, y la nueva ISO/IEC 27002 proporciona el conjunto de controles más apropiado a considerar.

La norma ISO/IEC 27002, relativa a los controles de seguridad de la información, sirve como documento de orientación para ayudar a las organizaciones a determinar e implantar controles de seguridad de la información reconocidos dentro de su sistema de gestión de la seguridad de la información. Las orientaciones de esta norma han sido elaboradas por un comité de expertos internacionales y del Reino Unido, basándose en el consenso internacional sobre lo que constituyen las mejores prácticas.

Entonces, ¿qué ha cambiado?

Aunque la norma ISO/IEC 27002:2022 ya no se autodenomina "código de buenas prácticas", su objetivo no ha cambiado. Sigue siendo un "manual de referencia", que proporciona un conjunto referenciable de controles de seguridad de la información al lograr una cobertura completa de las formas en que se pueden describir los controles de seguridad de la información.

La nueva norma revisada pretende garantizar que no se pase por alto ningún control necesario y que las orientaciones se consoliden en cuatro áreas clave, lo que facilita su adopción por parte de las empresas. Estos cuatro pilares de control son: Organizativo, Personal, Físico y Tecnológico.

Como resultado, dentro de la norma revisada, los usuarios encontrarán que se ha producido una reestructuración de los controles existentes y el número de controles de seguridad enumerados ha disminuido de 114 a 93, y se han eliminado algunos controles porque ya no reflejan las mejores prácticas.

En la última versión de la norma ISO/IEC 27002 se han introducido 11 nuevos controles, se han fusionado 24 y se han actualizado 58. Estos controles reflejan la evolución de las tecnologías y las prácticas industriales, incluida la inteligencia sobre amenazas, la seguridad de la información para el uso de servicios en la nube y la prevención de la fuga de datos. Esto garantizará que las empresas sean capaces de mantener un control continuo sobre su seguridad de la información, a pesar de que la naturaleza de los ciberataques cambie.

Steve Watkins, presidente del IST 33, afirma que "la bienvenida a la actualización de la norma ISO/IEC 27002 pone al día las opciones y descripciones de control e introduce los conceptos de temas y atributos para ayudar a las organizaciones en su selección y despliegue para gestionar los riesgos de ciberseguridad".

Para ayudar a los usuarios de la versión anterior de BS EN ISO/IEC 27002:2013 a saber cómo aplicar la guía actualizada de 2022, un nuevo Anexo A de 27002 demuestra el uso de atributos como una forma de crear diferentes vistas de los controles. Además, un nuevo Anexo B incluye referencias a los identificadores de control de la edición 2013 para proporcionar compatibilidad con versiones anteriores.

¿Por qué deberían las empresas adoptar estos cambios?

Debido a la pandemia del COVID-19, la mayoría de las empresas se han visto obligadas a acelerar su transformación digital y a confiar más en su infraestructura en la nube, ya que muchos de sus empleados siguen adaptándose y pasando a un modelo de trabajo híbrido.

Mientras las organizaciones se adaptaban a estos rápidos cambios, los ciberdelincuentes encontraban formas de explotar las vulnerabilidades de estos nuevos sistemas con una tecnología cada vez más sofisticada.

Teniendo en cuenta cuántos lugares de trabajo y operaciones empresariales cotidianas se han digitalizado durante la pandemia, ¿cómo ayuda la norma ISO/IEC 27002:2022 a las organizaciones a lograr una gestión eficaz de la seguridad de la información en el entorno actual de alto riesgo?

Lo más importante es que esta norma ayuda a las organizaciones a identificar, implantar y gestionar controles actualizados de seguridad de la información en el entorno actual. Estos controles incluirán políticas, normas, procesos, procedimientos, estructuras organizativas y soluciones de software y hardware.

Esto ayuda a las empresas a identificar controles adecuados y proporcionados que sean sostenibles y que funcionen para aumentar la idoneidad general de sus sistemas de gestión de la seguridad de la información.

Para aprovechar todos los beneficios de esta norma revisada, cada organización debe revisar y considerar el nuevo conjunto de controles candidatos especificados en la norma ISO/IEC 27002:2022 según las necesidades cambiantes de su empresa.