Se ha revisado un importante estándar de seguridad de la información

Control continuo: orientación recientemente lanzada sobre controles de gestión de seguridad de la información

Un estándar internacional de seguridad cibernética recientemente revisado está ayudando a los profesionales de seguridad de la información a considerar e implementar controles de seguridad de la información para abordar los riesgos de seguridad de la información más recientes. Esta publicación de blog describe lo que ofrece el estándar revisado y los beneficios que obtendrán las empresas al usarlo.

En un mundo donde la seguridad de los datos es esencial para todas las organizaciones y dada la tasa de cambio en la tecnología y los riesgos de seguridad cibernética, mantener los sistemas y procesos actualizados con el cambiante panorama de la seguridad de la información debe ser una prioridad.

BS EN ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad: los controles de seguridad de la información es el estándar internacional recientemente revisado que brinda orientación sobre la selección e implementación de controles de seguridad para su uso dentro de un Sistema de gestión de seguridad de la información (SGSI) basado en los requisitos en BS EN ISO/IEC 27001.

La revisión de este estándar trae un enfoque moderno para administrar los controles de seguridad con atributos. Incluye la introducción de temas y atributos, así como la actualización de los controles candidatos para reflejar las preocupaciones y prácticas actuales de seguridad de la información. BS EN ISO/IEC 27002:2022 tiene como objetivo proporcionar a las empresas, de todos los tamaños y sectores, una nueva generación de guía de control de seguridad, con el objetivo de hacer que la guía se modernice, simplifique y sea versátil para otorgar a las organizaciones la autonomía para seleccionar y evaluar la seguridad. controles que se consideren convenientes.

¿Cómo funcionan juntas las normas BS EN ISO/IEC 27002 y BS EN ISO/IEC 27001?

La norma BS EN ISO/IEC 27001 proporciona los componentes esenciales y la estructura para que su organización logre una gestión eficaz de la seguridad de la información. Uno de estos componentes esenciales es el despliegue de controles de seguridad de la información adecuados. Estos controles deben ser cuidadosamente evaluados y considerados en función del perfil de riesgo y las necesidades de su organización, y la nueva BS EN ISO/IEC 27002 proporciona el conjunto de controles más apropiado a considerar.
La norma BS EN ISO/IEC 27002, relativa a los controles de seguridad de la información, sirve como documento de orientación para ayudar a las organizaciones a determinar e implantar controles de seguridad de la información reconocidos dentro de su sistema de gestión de la seguridad de la información. Las orientaciones de esta norma han sido elaboradas por un comité de expertos internacionales y del Reino Unido, basándose en el consenso internacional sobre lo que constituyen las mejores prácticas.
Entonces, ¿qué ha cambiado?

Aunque BS EN ISO/IEC 27002:2022 ya no se describe a sí mismo como un "código de prácticas", su propósito previsto no ha cambiado. Sigue siendo un "manual de referencia", que proporciona un conjunto referenciable de controles de seguridad de la información al lograr una cobertura integral de las formas en que se pueden describir los controles de seguridad de la información.

El estándar revisado recientemente tiene como objetivo garantizar que no se haya pasado por alto ningún control necesario y que la guía se consolide en cuatro áreas clave, lo que facilita su adopción por parte de las empresas. Estos cuatro pilares del control son: Organizacional, Personas, Físico, Tecnológico.

Como resultado, dentro del estándar revisado, los usuarios encontrarán que ha habido una reestructuración de los controles existentes y la cantidad de controles de seguridad enumerados ha disminuido de 114 a 93, y algunos controles se eliminaron porque ya no reflejan las mejores prácticas.
Se introdujeron 11 nuevos controles, se fusionaron 24 controles y se actualizaron 58 controles en la última versión de la norma BS EN ISO/IEC 27002. Estos reflejan la evolución de las tecnologías y las prácticas industriales, incluida la inteligencia de amenazas, la seguridad de la información para el uso de servicios en la nube y la prevención de fugas de datos. Esto garantizará que las empresas puedan mantener un control continuo sobre la seguridad de su información, a pesar de que cambie la naturaleza de los ataques cibernéticos.

Steve Watkins, presidente de IST 33, dice: “La bienvenida actualización de ISO/IEC 27002 actualiza las opciones de control y las descripciones e introduce los conceptos de temas y atributos para ayudar a las organizaciones en su selección e implementación para gestionar los riesgos de seguridad cibernética.”

Para ayudar a los usuarios de la versión anterior de BS EN ISO/IEC 27002:2013 a saber cómo aplicar la guía actualizada de 2021, un nuevo Anexo A de 27002 demuestra el uso de atributos como una forma de crear diferentes vistas de los controles. Además, un nuevo Anexo B incluye referencias a los identificadores de control de la edición de 2013 para proporcionar compatibilidad con versiones anteriores.

¿Por qué las empresas deberían adoptar estos cambios?

Debido a la pandemia de COVID-19, la mayoría de las empresas se han visto obligadas a acelerar su transformación digital y confiar más en su infraestructura en la nube, ya que muchos de sus empleados continúan adaptándose y avanzando hacia un modelo de trabajo híbrido.
Mientras las organizaciones encontraban su lugar entre estos rápidos cambios, los ciberdelincuentes encontraban formas de explotar las vulnerabilidades dentro de estos nuevos sistemas con tecnología cada vez más sofisticada.

Dada la cantidad de lugares de trabajo y operaciones comerciales diarias que se han digitalizado durante la pandemia, ¿cómo ayuda BS EN ISO/IEC 27002:2022 a las organizaciones a lograr una gestión eficaz de la seguridad de la información en el entorno de alto riesgo actual?

Es importante destacar que este estándar ayuda a las organizaciones con la identificación, implementación y gestión de controles de seguridad de la información actualizados en el entorno actual. Estos controles incluirán políticas, reglas, procesos, procedimientos, estructuras organizativas y soluciones de software y hardware.

Esto ayuda a las empresas a identificar controles adecuados y proporcionados que sean sostenibles y que funcionen para aumentar la idoneidad general de sus sistemas de gestión de seguridad de la información.

Para aprovechar todos los beneficios de esta norma revisada, cada organización debe revisar y considerar el nuevo conjunto de control candidato especificado en BS EN ISO/IEC 27002:2022 según corresponda a las necesidades cambiantes de sus negocios.