El BOE publicó en junio de 2023 las normas UNE que la Dirección General de Industria y de la Pequeña y Mediana Empresa aprobó en mayo. Entre ellas “UNE-ISO/IEC 27001:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos” y “UNE-EN ISO/IEC 27002:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información”. Tal cual, son las normas que ISO aprobó en 2022.
Las novedades de la ISO 27002
Los cambios que encontramos:- Los controles e dividen en secciones: organizativos, de personas, físicos y tecnológicos.
- Se reducen la cantidad de controles, pasando de 114 a 93 pero no desparece ninguno.
- 57 controles se integran en 24
- 23 controles cambian de nombre.
- 11 controles son nuevos
- 1 control se divide en 2
Los nuevos controles
Describiremos brevemente:- Inteligencia sobre amenazas. La organización deberá obtener información para comprender que amenazas que la acechan. Constituye una respuesta proactiva. Esta información será útil para construir defensas y mitigar los riesgos. Se divide en diferentes ámbitos.
- Inteligencia Estratégica destinada a proporcionar información de alto nivel para que la organización tome decisiones en función de la evaluación del impacto y del riesgo.
- Inteligencia Operativa para conocer campañas de ciberataques, el momento y las intenciones de ataque específicos.
- Inteligencia Táctica para descubrir los TTP (Tácticas, Técnicas y Procedimientos), los actores implicados y las actividades que podrán desarrollar para materializar los ataques.
- Inteligencia Técnica cuyo objetivo es conocer el vector de ataque o las vulnerabilidades que se explotarían. Una misma táctica puede ejecutarse con diferentes técnicas.
- Seguridad en los servicios en la nube. La tendencia es desplazar el equipamiento físico a servicios en la nube. Es necesario comprender los riesgos asociados a este servicio. La relación con el proveedor del servicio debe ser fluida. Se debe definir e implementar el uso de los servicios y el reparto de la responsabilidad entre el proveedor del servicio en la nube y el cliente. Además hay que tener en cuenta que tendremos nubes públicas, privadas o híbridas.
- Las TIC en la continuidad de negocio. La continuidad de negocio debería caer en la ISO 22301. El plan de continuidad es vital para que la organización y los empleados mantengan funcionando el negocio. Ahora se incluye como un control para obligar a la empresas a tenerlo. Los planes de recuperación se centrarán en cómo prevenir, mantener o recuperar el negocio ante una situación disruptiva como ocurrió con la pandemia.
- Supervisión de la Seguridad Física. Está destinado proteger el edificio y los equipos de su interior. Permitir o no el acceso a determinadas personas y observar su movimiento dentro de las instalaciones. Este control recurre a la videovigilancia y esta actividad está regulada por la ley y reglamento de protección de datos. Habrá que tenerlos en cuenta.
- Gestión de la Configuración. Se ha añadido debido a que muchas compañías no lo están realizando correctamente. La configuración consiste en establecer atributos a un producto, sabiendo, además que estos cambiarán a lo largo del tiempo. Aquí se incluye al proceso de Gestión del Cambio y se involucran otras áreas de la empresa, muchas veces, con intereses opuestos. Es necesario que los cambios se aprueben, se auditen para comprobar que se han realizado y se mantienen en funcionamiento. Deberán implantarse estos procesos superando los escollos de la propia organización.
- Eliminación de la información y Enmascaramiento de datos. Se alinean con los requisitos de la ley y reglamento de protección de datos, por lo tanto, habrá que tener en cuenta.
- Prevención de la fuga de datos. Aplicable a las redes y sistemas que procesan, almacenan o transmiten información. Es necesario identificar y categorizar los datos confidenciales. La protección básica es el control de acceso a determinados datos. Principalmente, hay que controlar la información que entra y sale a través del perímetro de la red y alcanza los puntos finales de los usuarios como portátiles o teléfonos móviles y la posibilidad de grabarla en discos, memorias, archivos externos, etc. Las herramientas DLP (Data Loss Prevention) están ampliamente desarrolladas y la implantación del control no debería ser complicada.
- Actividades de monitorización. Es un control especialmente destinado a los sistemas de red y aplicaciones. Se debe monitorizar el comportamiento anómalo y tomar acciones adecuadas para evaluar los posibles incidentes. Hay que considerar si todos los elementos deben o pueden ser monitorizados. El control no indica cómo se debe realizar. Actualmente no hay un consenso sobre cuales son las medidas adecuadas para su implementación.
- Filtrado web. Utiliza el concepto de filtrado para impedir la conexión con destinos inadecuados, inseguros, o siendo inocuos, consumen ancho de banda. Actualmente se está aplicando a través de proxys o firewalls.
- Codificación insegura. La intención de este control es que el software se escriba de forma segura para evitar la creación de posibles vulnerabilidades. Se realizará el seguimiento a lo largo del desarrollo del proyecto y no tener que esperar a la verificación en el producto final.
El período de transición
El periodo de transición hacia la nueva certificación 27001 será gradual. Los organismos certificadores también están sometidos a la transición. Deberán conocer e interpretar la normativa. Se dará la situación en que la nueva 27002 tenga que enfrentarse a la 27001 antigua. Esta situación deberá resolverse cuando llegue. La certificación con los nuevos requisitos dependerá si la organización va iniciar la certificación o si ya lo está. Si está certificada, el momento adecuado para afrontar los cambios sería cuando correspondiese hacer una auditoría de seguimiento o de renovación. Entonces se estudiará como desarrollar los nuevos controles.
No obstante, podemos adelantar que las primeras acciones serán:
- La redacción de nuevos documentos de Declaración de Aplicabilidad.
- La Creación o modificación de políticas, procesos y procedimientos para el despliegue de los controles.
- El análisis de riesgo sufrirá los cambios desde el primer momento y habrá que ser más meticuloso en su realización.
Conclusión
Los fabricantes comercializan productos muy avanzados para cubrir algunos de los controles. La recomendación es iniciar la certificación en 27001 lo antes posible con las soluciones del mercado y observar su evolución en el cumplimiento de los requisitos.Referencia
UNE-EN ISO/IEC 27001:2023. (Versión corregida en fecha 2024-05-29). Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos. (ISO/IEC 27001:2022)
UNE-EN ISO/IEC 27002:2023. (Versión corregida en fecha 2023-06-21). Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información. (ISO/IEC 27002:2022)
Un libro, aunque a estas fechas ya se ha quedado anticuado.
GÓMEZ FERNÁNDEZ, Luis Antonio y FERNÁNDEZ RIVERO, Pedro Pablo. Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Edición 2018. Editorial AENOR, 2018.
Luis F. Real
No hay comentarios:
Publicar un comentario