6 minute read
INTRODUCCIÓN
Desde finales del siglo XX los avances en la tecnología han supuesto una revolución que ha transformado las relaciones personales, gubernamentales y comerciales, dando origen a un espacio donde un conjunto de dispositivos conectados por redes almacena y utiliza información de manera digital que permite la comunicación sin importar las fronteras entre los países, llamado ciberespacio[1] .
Lo anterior ha permitido a las organizaciones tener sistemas automatizados que agilizan y eficientizan sus procesos productivos y a la vez les permite acceder, almacenar e intercambiar información sobre estos, pero también las vuelve más vulnerables a amenazas con la finalidad de extraer, modificar o eliminar dicha información. Por lo que entender la realidad en materia de seguridad de la información permitirá a las organizaciones visualizar los retos a los que se enfrentaran a corto, mediano y largo plazo además de proporcionarles una prospección de este entorno digital incierto y en constante cambio[2] .
Advertisement
La Asociación Colombiana de Ingenieros de Sistemas (ACIS) en su Revista trimestral “Sistemas” en la publicación “Sociedad 5.0 y tecnologías emergentes al 2030”[3], propone algunos escenarios digitales a los que se podrían enfrentar las organizaciones durante los próximos 10 años (ver tabla 1), dentro de los cuales se destaca la desestabilización organizacional y económica, debido a amenazas llamadas ciberataques que aspiran a tener acceso y control de la información confidencial dentro de la red privada de la organización. Por lo que la meta para las organizaciones deberá ser contar con medidas de ciberseguridad, es decir, contar con herramientas, técnicas y métodos que les permita proteger las redes y dispositivos que almacenan su información confidencial[4]
Tabla 1: Posibles escenarios digitales hacia 2030
Escenario
Descripción
Tenciones geopolíticas Mayores Conflictos comerciales.
Naturaleza del trabajo La tecnología de la información replantea la relación: organización – colaborador y organización – cliente.
Convergencia tecnológica Uso de inteligencia artificial para el almacenamiento y análisis de datos. Ciberconflictos y Ciberataques Generan mayor desestabilización e impacto en las organizaciones.
Inteligencia Colectiva Colaboración entre organizaciones para el desarrollo de medidas de seguridad.
Riesgos líquidos
Son aquellos que, debido a su cambio constante, volatilidad y fluidez no permiten entenderlos con facilidad por lo que exigen propuestas que vayan más allá de los marcos conocidos o probados.
Liderazgo resiliente Actuar, priorizar y mejorar.
Dinero digital Tensión social y comercial por el uso de criptoactivos.
Actualmente existen un sinfín de herramientas de ciberseguridad que permiten a las organizaciones tener sistemas mejor protegidos para hacer frente a los ciberataques, pero en muchas ocasiones a pesar de hacer uso de estas herramientas las organizaciones se ven involucradas en la extracción o modificación de su información confidencial. Por lo anterior además de contar con las mejores herramientas tecnológicas las organizaciones pueden contar con algún sistema que les permita estructurar y gestionar eficazmente las amenazas a las que se enfrenta. El organismo ISO en conjunto con la IEC a través de su familia de normas ISO/IEC 27000 proponen un sistema de gestión de seguridad de la información, que actualmente es el más utilizado por las organizaciones para garantizar a sus clientes que disponen de políticas para proteger su información de las grandes amenazas actuales.
En este E-book, nos centraremos en abordar el Anexo A de la norma ISO/IEC 27001 en donde se establecen los principales controles que ayudarán a las organizaciones a mantener la seguridad de su información.
Familia Iso 27000
La familia de normas ISO/IEC 27000 es un conjunto de estándares desarrollados por el Organismo Internacional para la Estandarización (ISO, del acrónimo en inglés International Organization for Standardization) en conjunto con la Comisión Internacional Electrotécnica (IEC, del acrónimo en inglés International Electrotechnical Commission) y nacen de la necesidad de las organizaciones por contar con criterios de evaluación certificables y reconocidos de manera internacional para la gestión de la seguridad de la información.
El origen de la norma se da en 1989 cuando el Centro de Seguridad de Informática Comercial de Reino Unido (CCSC, por sus siglas en inglés) propone el estándar “Código de buenas prácticas BS779-1”, el cual no era certificable, por lo que en 1998 publica una segunda parte con el código “BS7799-2” en donde describe por primera vez los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) certificable.
En el año 2000 ISO acepta la primera parte del esquema y publica la norma ISO/IEC 17799, posteriormente en 2002 acepta la segunda parte del estándar y es hasta 2005 que publica la familia de las normas ISO/IEC 27000 [5] (figura 1).
CCSC publica la norma “Código de buenas prácticas BS779-1”No certificable
La familia ISO/IEC 27000 consta de 15 normas:
ISO/IEC 27000
Sistema de Gestión de la Seguridad de la Información – Generalidades y vocabulario.
ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información – Requisitos.
ISO/IEC 27002
Buenas prácticas para controles de la seguridad de la información.
ISO/IEC 27003
Guía de implementación del sistema de gestión de la seguridad de la información.
ISO/IEC 27004
Gestión de la seguridad de la información – Medición.
ISO/IEC 27005
Gestión de riesgos de seguridad de la información.
ISO/IEC 27006
Requisitos para empresas de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información.
ISO/IEC 27007
Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información.
ISO/IEC TR 27008
Directrices para auditores sobre control de la seguridad de la información.
ISO/IEC 27010
Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional.
ISO/IEC 27011
Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC 27002.
ISO/IEC 27013
Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/ IEC 20000-1.
ISO/IEC 27014
Gobernanza de la seguridad de la información.
ISO/IEC TR 27015
Directrices para gestión de la seguridad de la información en servicios financieros.
ISO/IEC TR 27016
Directrices para gestión de la seguridad de la información –Empresas de economía.
En octubre de 2022 la norma ISO/IEC 27001 fue revisada, modificada y publicada como ISO/IEC 27001:2022
Seguridad de la información, ciberseguridad y protección de la privacidad – Sistema de Gestión de la Seguridad de la Información- Requisitos. Las principales modificaciones se dieron en el anexo A en donde se establecen los controles que las organizaciones deben implementar en su sistema de gestión de seguridad de la información.
ISO/IEC 27001
La norma ISO 27001 proporciona a las organizaciones los requisitos para implementar un SGSI que les permita proteger sus activos de información, entendiendo por activo, cualquier dispositivo, persona, herramienta, infraestructura, proceso o red de datos que contenga información de valor para la organización, la cual, pueden ser datos; sobre empleados, clientes, proveedores, propiedad intelectual, financieros, registros legales, comerciales y operativos. Es por lo anterior que la norma contempla que la información de valor debe conservar siempre las siguientes tres características:
Disponibilidad: Permitir el acceso a la red y sistemas de información a usuarios autorizados cuando estos lo requieran.
Confidencialidad: Acceso a la información de valor únicamente a usuarios autorizados.
Integridad: Mantener la exactitud de cómo fue almacenada en toda la red y dispositivos.
La implementación de un SGSI ayuda a cualquier organización a responder a la evolución de las ciberamenazas y gestionar de manera eficaz los recursos de ciberseguridad contra cualquier incidente, siendo este, cualquier evento en el cual la información almacenada ha perdido la confidencialidad, integridad o disponibilidad.
ACTUALIZACIÓN ISO/IEC 27001:2022
La pandemia por COVID-19 que inicio en el año 2020 obligó a las organizaciones a establecer nuevos métodos de trabajo en los que se incluyen el uso de redes para almacenar y comunicar información, Lo que significó para las organizaciones aumentar los perímetros de seguridad de la información de sus instalaciones físicas hasta los hogares de los colaboradores. Para atender estas nuevas necesidades el organismo ISO y la IEC publican en 2022 la actualización de la norma ISO/IEC 27001[6] .
Los cambios realizados en esta versión los agruparemos en dos partes, aquellos relacionados con los requisitos para implementar un SGSI y los relacionados con el anexo A, siendo estos últimos los que presentaron una modificación mayor.
Requisitos
\ Se reestructuran los numerales para adecuarse a una estructura de alto nivel, por lo que la organización debe adoptar un pensamiento con enfoque a procesos y basado en riesgos sin olvidar el compromiso y liderazgo de la alta dirección para priorizar los recursos necesarios para garantizar la seguridad de la información.
\ Se establece que las organizaciones deben determinar los requisitos de las partes interesadas que serán abordados en el SGSI.
\ Las organizaciones deben planificar de manera detallada los cambios en el SGSI.
Anexo A
\ Se establece que las organizaciones deben ejercer mayor exigencia en los controles de seguridad de información que sean provistos por proveedores externos.
\ En la cláusula de revisión por la dirección las organizaciones deben evaluar de manera detallada los cambios en las necesidades y expectativas que sean relevantes para las partes interesadas y que impacten en el SGSI.
Se pasa de 14 clausulas a 4 clausulas
Se reduce de 114 controles a 93 controles
Se plantean 11 nuevos controles
En el siguiente tema veremos de manera detallada los cambios que corresponden al anexo A.
