Antonio Fumero

I+D. Todo se puede solucionar con una cerveza fría.

¿Estás seguro?

La familia de normas ISO/IEC 27000 no deja de crecer y actualizarse, en un escenario en el que su buque insignia, la norma ISO/IEC 27001, se convierte en un requisito indispensable para estar a la altura de las circunstancias en términos de seguridad de la información. Vale la pena detenernos un momento para entender qué hay dentro de esta familia de estándares.

La norma 27001

La norma 27001 contiene los fundamentos para la gestión de la seguridad de la información; y es certificable. La norma 27002 no es un estándar de gestión y no es certificable.

La norma ISO/IEC 27002:2000

A mediados del pasado mes de febrero, se publicaba la nueva versión de la norma ISO/IEC 27002:2022. Esta norma pone el foco en “el detalle” de cómo implementar los controles que se enumeran en el Anexo A de la ISO/IEC 27001. Lo que en el anexo de marras es una frase, en la 27002 es una página entera para describir cada control; es decir, que necesitas atender a esa norma para implementar estos controles.

La norma 27001 contiene los fundamentos para la gestión de la seguridad de la información; y es certificable. La norma 27002 no es un estándar de gestión y no es certificable.

En su versión de 2022, la 27002 trae novedades:

  • Los conjuntos de puntos de control se organizan ahora alrededor de cuatro (4) categorías (Organizativa, Personal, Física y Tecnológica), frente a lo que hasta ahora eran catorce dominios.
  • Hay menos puntos de control: 21 menos.
  • Hay menos redundancia: 24 puntos de control se han fusionado a partir de la versión de 2013.
  • Nuevos puntos de control: 11 puntos de control nuevos.
  • Se asocian “atributos” a los puntos de control, permitiendo un filtraje más granular en términos, por ejemplo, de riesgos.

La norma ISO/IEC 27001 no está sola: dentro de la misma familia existen normas específicas para incorporar las extensiones de controles que aportan seguridad (ISO 27017:2015) y privacidad (ISO 27018:2019) adicional para entornos cloud en cualquiera de sus modalidades (IaaS, PaaS o SaaS). 

También se puede complementar con el estándar ISO 27032:2012 que, además de contemplar controles relacionados con la seguridad en el desarrollo de software (security-by-design), refuerza controles específicos: contempla ciberriesgos y ciberamenazas como los ataques de ingeniería social, acceso no autorizado a sistemas informáticos, software malicioso de secuestro y cifrado de información (ransomware). 

Dependiendo del ámbito de aplicación, es posible que tengamos que acudir, además, a normas de la familia IEC 64332, específicamente dedicada a la ciberseguridad de las tecnología operacionales (OT) propias de los sistemas industriales de control y automatización.

Por otro lado, una vez metidos en faena, es habitual que se aplique la norma ISO 22301:2019 para integrar la seguridad y la resiliencia en los sistemas de gestión de la continuidad del negocio (BCMS).

Cuando lidiamos con las Administraciones Públicas (AA.PP.) en España, la referencia en ciberseguridad es el Esquema Nacional de Seguridad (ENS), regulado inicialmente por el el Real Decreto 3/2010 de 8 de enero y que ha sido recientemente actualizado por el RD 311/2022 de 3 de mayo y que incluye novedades sustanciales para adaptarlo a la realidad de un escenario que ha cambiado radicalmente en la última década. Su objetivo es establecer la política de seguridad en la utilización de medios electrónicos por medio de unos principios básicos (Artículo 5) y unos requisitos mínimos (Artículo 12). Su aplicación busca crear las condiciones necesarias de confianza a través de una serie de medidas (controles) de seguridad (Anexo II) que garanticen la solidez de la securización de los diferentes sistemas de información, datos, comunicaciones y servicios electrónicos y que se dividen en organizativos, operacionales y medidas de protección. El ENS es de aplicación en todas las AA.PP. españolas y sus proveedores de servicios o soluciones tecnológicas.

El ENS es un marco inspirado en la familia de estándares ISO 27000 y en concreto en la norma ISO/IEC 27001, por lo que su estructura y aplicación responde al modelo del ciclo PDCA de mejora continua, considerando análisis de riesgos e implantación de medidas/controles y la categorización de sus sistemas de información.

Del mismo modo que en ISO/IEC 27001 se manejan varias dimensiones de Seguridad (Confidencialidad, Integridad y Disponibilidad) en el caso del ENS se consideran la Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad de los Sistemas de Información, sus servicios y su información.

En la Guía CCN‐STIC‐825 se establecen los aspectos comunes y diferenciadores entre la ISO/IEC 27001 y ENS. Mientras que en la ISO/IEC 27001, la aplicación de controles es voluntaria en función de la necesidad o conveniencia para la organización, en el ENS es obligatorio el cumplimiento de todas y cada una de las medidas de seguridad y controles, en función de la categoría del sistema.

Balance INCIBE 2020 (Fuente: incibe.es)
Balance INCIBE 2020 (Fuente: incibe.es)

INCIBE gestionó en 2020 más de 130.000 incidentes, de los cuales más de 1.100 estaban relacionados con operadores de servicios críticos, esenciales o estratégicos. Aun así, en lo que respecta a las certificaciones, según los datos correspondientes a 2020 del informe del estado de la Ciberseguridad en España elaborado por Deloitte, el 60% de las organizaciones encuestadas indica no poseer ninguna específica en el ámbito de ciberseguridad. Del 40% restante, que sí se han certificado, solo el 30% posee la certificación por la ISO/IEC 27001; mientras que, de estas, el 67% se han certificado con la ISO 22301.

Organigrama de la norma ISO/IEC 27002
Ciclo PDCA en la 27001 (Fuente: AENOR)

e-Fumérides

¿En qué grupo está tu organización? ¿Hasta qué punto crees que te protegen los controles de seguridad definidos en el marco de este tipo de normas?

Otros artículos

Ir al contenido