Las normas ISO 27001 e ISO 27002, actualizadas en 2022

 

El BOE publicó en junio de 2023 las normas UNE que la Dirección General de Industria y de la Pequeña y Mediana Empresa aprobó en mayo. Entre ellas “UNE-ISO/IEC 27001:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos” y “UNE-EN ISO/IEC 27002:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información”. Tal cual, son las normas que ISO aprobó en 2022.

La ISO 27001 es un sistema de gestión de la seguridad información para proteger los datos personales y otra información sensible. La norma insta a que se desarrollen políticas, procedimientos y controles que involucren a personas y tecnologías a cumplir con los requisitos de seguridad de la organización y se pueda certificar. La ISO 27002 es una guía para seleccionar controles propuestos en la 27001 y facilitar su implantación.

Los cambios en los requisitos de la 27001 son menores. Los más destacables se encuentra en el Anexo. El Anexo recopila la lista de los controles que pueden aplicarse. Es en la 27002 donde éstos se explican con más detalle.

Las novedades de la ISO 27002

Los cambios que encontramos:

- Los controles e dividen en secciones: organizativos, de personas, físicos y tecnológicos.

- Se reducen la cantidad de controles, pasando de 114 a 93 pero no desparece ninguno.

- 57 controles se integran en 24

- 23 controles cambian de nombre.

- 11 controles son nuevos

- 1 control se divide en 2

Los nuevos controles

Describiremos brevemente:

• Inteligencia sobre amenazas. La organización deberá obtener información para comprender que amenazas que la acechan. Constituye una respuesta proactiva. Esta información será útil para construir defensas y mitigar los riesgos. Se divide en diferentes ámbitos.
• Inteligencia Estratégica destinada a proporcionar información de alto nivel para que la organización tome decisiones en función de la evaluación del impacto y del riesgo.
• Inteligencia Operativa para conocer campañas de ciberataques, el momento y las intenciones de ataque específicos.
• Inteligencia Táctica para descubrir los TTP (Tácticas, Técnicas y Procedimientos), los actores implicados y las actividades que podrán desarrollar para materializar los ataques.
• Inteligencia Técnica cuyo objetivo es conocer el vector de ataque o las vulnerabilidades que se explotarían. Una misma táctica puede ejecutarse con diferentes técnicas.

• Seguridad en los servicios en la nube. La tendencia es desplazar el equipamiento físico a servicios en la nube. Es necesario comprender los riesgos asociados a este servicio. La relación con el proveedor del servicio debe ser fluida. Se debe definir e implementar el uso de los servicios y el reparto de la responsabilidad entre el proveedor del servicio en la nube y el cliente. Además hay que tener en cuenta que tendremos nubes públicas, privadas o híbridas.

• Las TIC en la continuidad de negocio. La continuidad de negocio debería caer en la ISO 22301. El plan de continuidad es vital para que la organización y los empleados mantengan funcionando el negocio. Ahora se incluye como un control para obligar a la empresas a tenerlo. Los planes de recuperación se centrarán en cómo prevenir, mantener o recuperar el negocio ante una situación disruptiva como ocurrió con la pandemia.

• Supervisión de la Seguridad Física. Está destinado proteger el edificio y los equipos de su interior. Permitir o no el acceso a determinadas personas y observar su movimiento dentro de las instalaciones. Este control recurre a la videovigilancia y esta actividad está regulada por la ley y reglamento de protección de datos. Habrá que tenerlos en cuenta.

• Gestión de la Configuración. Se ha añadido debido a que muchas compañías no lo están realizando correctamente. La configuración consiste en establecer atributos a un producto, sabiendo, además que estos cambiarán a lo largo del tiempo. Aquí se incluye al proceso de Gestión del Cambio y se involucran otras áreas de la empresa, muchas veces, con intereses opuestos. Es necesario que los cambios se aprueben, se auditen para comprobar que se han realizado y se mantienen en funcionamiento. Deberán implantarse estos procesos superando los escollos de la propia organización.

• Eliminación de la información y Enmascaramiento de datos. Se alinean con los requisitos de la ley y reglamento de protección de datos, por lo tanto, habrá que tener en cuenta.

• Prevención de la fuga de datos. Aplicable a las redes y sistemas que procesan, almacenan o transmiten información. Es necesario identificar y categorizar los datos confidenciales. La protección básica es el control de acceso a determinados datos. Principalmente, hay que controlar la información que entra y sale a través del perímetro de la red y alcanza los puntos finales de los usuarios como portátiles o teléfonos móviles y la posibilidad de grabarla en discos, memorias, archivos externos, etc. Las herramientas DLP (Data Loss Prevention) están ampliamente desarrolladas y la implantación del control no debería ser complicada.

• Actividades de monitorización. Es un control especialmente destinado a los sistemas de red y aplicaciones. Se debe monitorizar el comportamiento anómalo y tomar acciones adecuadas para evaluar los posibles incidentes. Hay que considerar si todos los elementos deben o pueden ser monitorizados. El control no indica cómo se debe realizar. Actualmente no hay un consenso sobre cuales son las medidas adecuadas para su implementación.

• Filtrado web. Utiliza el concepto de filtrado para impedir la conexión con destinos inadecuados, inseguros, o siendo inocuos, consumen ancho de banda. Actualmente se está aplicando a través de proxys o firewalls.

• Codificación insegura. La intención de este control es que el software se escriba de forma segura para evitar la creación de posibles vulnerabilidades. Se realizará el seguimiento a lo largo del desarrollo del proyecto y no tener que esperar a la verificación en el producto final.

El período de transición

El periodo de transición hacia la nueva certificación 27001 será gradual. Los organismos certificadores también están sometidos a la transición. Deberán conocer e interpretar la normativa. Se dará la situación en que la nueva 27002 tenga que enfrentarse a la 27001 antigua. Esta situación deberá resolverse cuando llegue. La certificación con los nuevos requisitos dependerá si la organización va iniciar la certificación o si ya lo está. Si está certificada, el momento adecuado para afrontar los cambios sería cuando correspondiese hacer una auditoría de seguimiento o de renovación. Entonces se estudiará como desarrollar los nuevos controles.

No obstante, podemos adelantar que las primeras acciones serán:

- La redacción de nuevos documentos de Declaración de Aplicabilidad.
- La Creación o modificación de políticas, procesos y procedimientos para el despliegue de los controles.
- El análisis de riesgo sufrirá los cambios desde el primer momento y habrá que ser más meticuloso en su realización.

 Conclusión

Los fabricantes comercializan productos muy avanzados para cubrir algunos de los controles. La recomendación es iniciar la certificación en 27001 lo antes posible con las soluciones del mercado y observar su evolución en el cumplimiento de los requisitos.

Referencia

Resolución de 5 de junio de 2023, de la Dirección General de Industria y de la Pequeña y Mediana Empresa, por la que se publica la relación de normas UNE aprobadas por la Asociación Española de Normalización, durante el mes de mayo de 2023.

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

ISO/IEC 27001:2022/Amd 1:2024 Information security, cybersecurity and privacy protection — Information security management systems — RequirementsAmendment 1: Climate action changes

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

UNE-EN ISO/IEC 27001:2023. (Versión corregida en fecha 2024-05-29). Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos. (ISO/IEC 27001:2022)

UNE-EN ISO/IEC 27002:2023. (Versión corregida en fecha 2023-06-21). Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información. (ISO/IEC 27002:2022)

Un libro, aunque a estas fechas ya se ha quedado anticuado.

GÓMEZ FERNÁNDEZ, Luis Antonio y FERNÁNDEZ RIVERO, Pedro Pablo. Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Edición 2018. Editorial AENOR, 2018.

Luis F. Real

Encuentros CCN, 2022

 

En el afán de recopilar los enlaces de conferencias organizadas del Centro Criptológico Nacional muestro aquí las de 2022. Notar que las ponencias y los temas crecen de año en año, siendo de sumo interés para tomar el pulso a la ciberseguridad en España y las acciones de las administraciones y del gobierno sobre ella.

Encuentros CCN. Intervenciones

Lista de reproducción de YouTube

Encuentros CCN 2022  

 

Luis F Real

"¿Qué sabemos de?: ANÁLISIS DE RIESGOS". David Rios Insua y Roi Naveiro Flores

 

Son varias las colecciones de temas matemáticos que, apostando por  tener un carácter divulgativo, se atreven a exponer expresiones algebraicas entre sus páginas.
Esto les confiere un cierto nivel más de complejidad en su comprensión y se dirigen a un público con cierta base matemáticas. Estas colecciones son impulsadas por el Instituto de Ciencias Matemáticas y sus miembros.

La longeva colección "Qué sabemos de ..." dirigida por el CSIC y publicada en  la editorial Catarata ha añadido a su lista el número 134: "Análisis de Riesgos". Un tema que de este modo, trasciende de los ámbitos más académicos al gran público.

Y aprovechando la Feria del Libro de Madrid, he comprado un ejemplar.

Está dedicado al Análisis de Riesgos en general, como disciplina en el ámbito matemático y no sólo enfocado a las tecnologías de la información. Los autores Roi Naveiro Flores y David Rios Insua.

Presentación del libro 

Nota de prensa

Videos It's a Risky Life!

Episodio 1 2.06 minutos
IT'S A RISKY LIFE! - Episodio 1: "Introducción"

Episodio 2, 2:42
IT'S A RISKY LIFE! - Episodio 2: "Las probabilidades son..."

Episodio 3  2.20 minutos
IT'S A RISKY LIFE! - Episodio 3: "Y tú, ¿qué crees?"

Episodio 4. 3:17 minutos
IT'S A RISKY LIFE! - Episodio 4: "To bayes or not to bayes"

Episodio 5  2:27 minutos
IT'S A RISKY LIFE! - Episodio 5: "¿Pájaro en mano o ciento volando?"

Episodio 6  2:21  minutos
IT'S A RISKY LIFE! - Episodio 6: "Los riesgos son..."

Episodio 7 2:15 minutos
IT'S A RISKY LIFE! - Episodio 7: "¿Estás seguro?"

Episodio 8,  2:45 minutos
IT'S A RISKY LIFE! - Episodio 8: "Adversarios"

Para no perderse la colección completa, dejo el enlace del Instituto de Ciencias Matemáticas:

 

Videos It's a Risky Life! en el ICMAT

LFR

"DIRECCIÓN DE SEGURIDAD Y GESTIÓN DEL CIBERRIESGO" Fernando Sevillano Jaén y Marta Beltrán Pardo

Crece la biblioteca de Ciberseguridad de la editorial RA-MA

Dirección de seguridad y gestión del ciberriesgo. Fernando Sevillano & Marta Beltrán. Ed Ra-Ma, 2020

A la lectura de este libro llego un poco tarde. Dos han sido los motivos que inicialmente provocaron el abandono en las primeras páginas:

• La corresponde con un capítulo inicial dedicado a la Dirección de la Seguridad. No comprendía bien su ubicación dentro del temario tratado.

Consideraba que tal vez debería de corresponder a unos de los últimos capítulos. Tras la presentación de la gestión de riesgos, tendría que tener sus figuras responsables.

• El segundo motivo es el más convincente. Simplemente me faltaban unos conocimientos iniciales sobre la gestión de riesgos.

El curso "Lead Implementer 27001" y unas lecturas complementarias fueron suficientes para comprender los detalles de los temas tratados en los capítulos del libro y obtener el máximo provecho. Por lo tanto, para aprender lo que aporta este libro es necesario tener una bae previa sobre la gestión de riesgos y los conceptos que se tratan, bastante claros.

El libro dedica uno o dos capítulos a cada una de las etapas del proceso de gestión de riestos de la figura de la ISO 31001. Aporta metodología y procedimientos muy diversos, lo cual le hace un libro bastante completo en la temática. Evidentemente no las trata con profundidad, pero si ofrece la pautas para que el lector siga investigando y leyendo en las áreas que le interesen o incluso aquellas que son más novedosas, porque también las menciona.

 

 

 

La identificación del ciberriesgo se basa en la creación de escenarios. Para ello hay que recurrir a la creación de Modelos de Escenarios:

Creación de Escenarios:

1. Obtención de información de fuentes genéricas.

1.1 de taxonomías y listados de amenazas conocidas y publicadas.

2. Obtención de información de fuentes particulares. Análisis de los riesgos en nuestra infraestructura.

2.1 de las taxonomías y listados de amenazas conocidas (apartado 1.1 anterior) se seleccionan y se perfilan aquellas que más se ajusten a nuestra infraestructura.

 

 

 

 

 

 

 

 

 

 

 

 

REAL DECRETO 311/2022, por el que se regula el ESQUEMA NACIONAL de SEGURIDAD

 

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad

El 5 de mayo de 2022 entra en vigor el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad

Comentamos hace unos meses en este mismo blog, que el Ministerio de Asuntos Económicos y Transformación Digital había redactado un nuevo texto del Esquema Nacional de Seguridad adaptándose a las nuevas necesidades en el ámbito de la ciberseguridad.

El proyecto fue expuesto en audiencia pública, tal como exige los procedimientos para la elaboración de las leyes. (Proyecto de reforma del Esquema Nacionalde Seguridad, audiencia pública del anteproyecto de ley) En aquellas fechas también recogimos algunas novedades que aportaba esta nueva reforma (Notassobre el nuevo Esquema Nacional de Seguridad)

Siguiendo el procedimiento de elaboración de leyes. El 2 de febrero se registró en el Consejo de Estado la entrada el expediente sobre el proyecto de Real Decreto. La función del Consejo de Estado es emitir Dictámenes sobre las cuestiones que se le plantean que, sin ser vinculantes, si suelen ser adoptadas en los texto legislativo examinados.Este expediente fue priorizado como urgente.

(Consultar las web sobre las funciones del Consejo de Estado y las características de los Dictámenes que emite)

En veinte días la Comisión Permanente del Consejo de Estado emitió el Dictamen 93/22 que se puede consultar el la publicación de la Agencia Estatal del Boletín Oficial del Estado. En el propio dictamen se explica todos los procedimiento que ha seguido este proyecto de Real Decreto hasta llegar al Consejo.

 

Dictamen 93/2022 del Consejo de Estado

El 3 de mayo  se incluyó en el orden del día del Consejo de Ministros (Referencia del Consejo de ministros del 3 de mayo). En esa sesión, el Real Decreto fue aprobado.

 

Consjeo de Ministros. Referencia, 3 de mayo de 2022, página 11

El dia 4 de mayo se publica en el BOE y como indica la Disposición final tercera, entró en vigor el día 5.

En estas páginas nos haremos eco de los comentarios al mismo que puedan emitir organismos, asociaciones, empresas o profesionales involucrados en este Real Decreto.

 

Luis F. Real

Notas sobre el nuevo Esquema Nacional de Seguridad

 

Unas breves notas sobre el proyecto de Real Decreto. 

La primera apreciación del lector es que la nueva norma está escrita con un leguaje más técnico, preciso y claro.

Vamos a centrarnos en el personal adscrito a las actividades de ciberseguridad.

Profesionalidad: El personal estará cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición,
construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
Las organizaciones determinarán el diseño curricular y experiencias necesarias del personal para el desarrollo de cada puesto de trabajo.

Roles en las organizaciones:
La norma distingue cuatro roles bien diferenciadsos:
Responsable de información.
Responsable del servicio.
Responsable de la seguridad.
Responsable del sistema.
Responsable de Seguridad distinto del Responsable del
Sistema (salvo excepciones que deberán ser justificadas).

Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsabilidad de la Seguridad que recogerá las condiciones
y requisitos para este rol.
El CCN-STIC publiará normas, intrucciones técnicas, guías de seguridad de las tecnologías de la información y la comunicación; así como  recomendaciones para aplicar el ENS.

También aparece un nuevo papel aparece en aquellas empresas que ofrezcan servicios externalizados.
Se trata de la Persona de Contacto, POC, "Point of Contact", de seguridad de la información.
- Será el Responsable de la Seguridad de la Información o pertenecerá a esta área.
- La responsabilidad última será de la entidad del sector público beneviciaria del servicio.  


Otros puntos de interés recogidos a vuelapluma:

Un buen ejemplo de los cambios lo encontramos en el glosario.
Aparecen 14 nuevos conceptos que no se recogen en la norma actual. Dos amplian la definición existente.
El Análisis de Riesgo y el Incidente de Seguridad tienen explicaciones más detalladas y completas.

Las medidas de seguridad se considerarán procesos y la valoración de la implantación de dichas medidas será en base a la adopción del modelo CMM.

Notas sobre el Anexo II:

Los niveles de seguridad se han incrementado, aquellos que eran básicos y no necesitaban aplicar medidas de seguridad, en la nueva normativa
se exige que tengan implementaciones mínimas.Esta normativa incluye el concepto de Refuerzo de Seguridad. Los niveles medios y altos se incrementan con medidas de refuerzo denominadas R1, R2 o R3. Estos refuerzos han de estar convenientemente documentados.

L. F. Real

III Encuentro sobre el ENS, Esquema Nacional de Seguridad, organizado por el CCN

Canal de Youtube del III Encuentro del Esquema Nacional de Seguridad

 III Encuentro sobre el ENS, junio 2021

 

L. F. Real