Revisión de la norma ISO 27002 - Estos son los cambios

• ISO 27002 e ISO 27001
• Nueva estructura y nuevos temas
• Nuevas medidas de seguridad
• Atributos y valores de atributos
• Cambios en 27002: Una conclusión
• Qué significa la actualización para su certificación
• DQS: Aprovechando simplemente la calidad.

ISO 27002 e ISO 27001

La norma ISO 27002 define un amplio catálogo de medidas de seguridad generales que deben apoyar a las empresas en la aplicación de los requisitos del Anexo A de la norma ISO 27001 - y se ha establecido como una guía estándar práctica en muchos departamentos de TI y de seguridad como una herramienta reconocida. A principios de 2022, la norma ISO 27002 se revisó y actualizó de forma exhaustiva, una medida que, en opinión de muchos expertos, iba con retraso, teniendo en cuenta el desarrollo dinámico de las TI en los últimos años y sabiendo que las normas se revisan para su actualización cada 5 años.

Para las empresas con un certificado ISO 27001 -o las que quieran abordar la certificación en un futuro próximo- las novedades que se han introducido ahora son relevantes en dos aspectos: En primer lugar, en lo que respecta a las actualizaciones necesarias de sus propias medidas de seguridad; pero en segundo lugar, porque estos cambios tendrán un impacto en la actualización de ISO 27001 prevista para finales de año y, por tanto, serán relevantes para todas las certificaciones y recertificaciones futuras. Razón suficiente, por lo tanto, para echar un vistazo a la nueva ISO 27002.

Nueva estructura y nuevos temas

El primer cambio obvio en la norma ISO 27002:2022 es la estructura actualizada y significativamente racionalizada de la norma: en lugar de las anteriores 114 medidas de seguridad (controles) en 14 secciones, el conjunto de referencia de la versión actualizada de la ISO 27002 comprende ahora 93 controles, que están claramente subdivididos y resumidos en 4 áreas temáticas:

• 37 medidas de seguridad en la sección "Controles organizativos"
• 8 medidas de seguridad en el área de "Controles de las personas".
• 14 medidas de seguridad en el área de "Controles físicos".
• 34 medidas de seguridad en el área de "Controles tecnológicos"

A pesar de la reducción del número de medidas de seguridad, sólo se ha suprimido el control "Retirada de activos". La racionalización se debe a que 24 medidas de seguridad de los controles existentes se combinaron y reestructuraron para cumplir los objetivos de protección de una manera más centrada. Otras 58 medidas de seguridad fueron revisadas y adaptadas para cumplir con los requisitos actuales.

Nuevas medidas de seguridad

Además, y esta es probablemente la parte más emocionante de la actualización, la norma ISO 27002 se ha ampliado con 11 medidas de seguridad adicionales en la nueva versión. Ninguna de estas medidas será una sorpresa para los expertos en seguridad, pero en conjunto envían una fuerte señal y ayudan a las empresas a armar sus estructuras organizativas y arquitecturas de seguridad contra los escenarios de amenazas actuales y futuras de manera oportuna.

Las nuevas medidas son

Inteligencia sobre amenazas

Capturar, consolidar y analizar la inteligencia sobre amenazas actuales permite a las organizaciones mantenerse al día en un entorno de amenazas cada vez más dinámico y cambiante. En el futuro, el análisis de la información sobre ataques basado en pruebas desempeñará un papel clave en la seguridad de la información para desarrollar las mejores estrategias de defensa posibles.

Seguridad de la información para el uso de servicios en la nube

Hoy en día, muchas organizaciones dependen de los servicios basados en la nube. Esto conlleva nuevos vectores de ataque y cambios que los acompañan, así como superficies de ataque significativamente mayores. En el futuro, las empresas tendrán que considerar las medidas de protección adecuadas para su introducción, uso y administración y hacerlas vinculantes en sus normas contractuales con los proveedores de servicios en la nube.

Preparación de las TIC para la continuidad del negocio

La disponibilidad de las tecnologías de la información y la comunicación (TIC) y sus infraestructuras es esencial para la continuidad de las operaciones de las empresas. La base de las organizaciones resistentes son los objetivos de continuidad del negocio planificados y los requisitos de continuidad de las TIC derivados, aplicados y verificados a partir de ellos. Los requisitos para la recuperación técnica y oportuna de las TIC tras un fallo establecen conceptos viables de continuidad empresarial.

Vigilancia de la seguridad física

Los robos en los que se sustraen datos sensibles o soportes de datos de la empresa o se ponen en peligro representan un riesgo importante para las empresas. Los controles técnicos y los sistemas de vigilancia han demostrado su eficacia para disuadir a los posibles intrusos o detectar su intrusión inmediatamente. En el futuro, serán componentes estándar de los conceptos de seguridad integral para detectar y disuadir el acceso físico no autorizado.

Gestión de la configuración

Los sistemas mal configurados pueden ser utilizados por los atacantes para acceder a recursos críticos. Aunque anteriormente estaba poco representada como subconjunto de la gestión del cambio, la gestión sistemática de la configuración se considera ahora una medida de seguridad por derecho propio. Requiere que las organizaciones supervisen la correcta configuración del hardware, el software, los servicios y las redes, y que endurezcan sus sistemas adecuadamente.

Eliminación de información

Desde la entrada en vigor del Reglamento General de Protección de Datos, las organizaciones deben disponer de mecanismos adecuados para eliminar los datos personales cuando se soliciten y garantizar que no se conservan durante más tiempo del necesario. Este requisito se extiende a toda la información en la norma ISO 27002. La información sensible no debe conservarse más tiempo del necesario para evitar el riesgo de divulgación no deseada.

Enmascaramiento de datos

El objetivo de esta medida de seguridad es proteger los datos o elementos de datos sensibles (por ejemplo, los datos personales) mediante el enmascaramiento, la seudonimización o la anonimización. El marco para la aplicación adecuada de estas medidas técnicas lo proporcionan los requisitos legales, estatutarios, reglamentarios y contractuales.

Prevención de la fuga de datos

Se requieren medidas de seguridad preventivas para mitigar el riesgo de divulgación y extracción no autorizada de datos sensibles de sistemas, redes y otros dispositivos. Los posibles canales de fuga incontrolada de esta información identificada y clasificada (por ejemplo, el correo electrónico, las transferencias de archivos, los dispositivos móviles y los dispositivos de almacenamiento portátiles) deben ser supervisados y, si es necesario, apoyados técnicamente por medidas de prevención activas (por ejemplo, la cuarentena del correo electrónico).

Actividades de supervisión

Los sistemas de vigilancia de las anomalías en las redes, los sistemas y las aplicaciones forman ya parte del repertorio estándar de los departamentos de TI. Del mismo modo, la exigencia de utilizar sistemas para la detección de ataques se ha introducido en los requisitos legales y reglamentarios actuales. La supervisión continua, la recopilación automática y la evaluación de los parámetros y características apropiados de las operaciones informáticas en curso son una necesidad en la ciberdefensa proactiva y seguirán impulsando las tecnologías en este ámbito.

Filtrado web

Muchos sitios web no fiables infectan a los visitantes con malware o leen sus datos personales. El filtrado avanzado de URLs puede utilizarse para filtrar automáticamente los sitios web potencialmente peligrosos para proteger a los usuarios finales. Las medidas y soluciones de seguridad para protegerse de los contenidos maliciosos de los sitios web externos son esenciales en un mundo empresarial globalmente conectado.

Codificación segura

Las vulnerabilidades en el código desarrollado internamente o en los componentes de código abierto son un peligroso punto de ataque, que permite a los ciberdelincuentes acceder fácilmente a datos y sistemas críticos. Las directrices de desarrollo de software actualizadas, los procedimientos de prueba automatizados, los procedimientos de publicación de los cambios de código, la gestión de los conocimientos de los desarrolladores y las estrategias de parcheo y actualización bien pensadas aumentan considerablemente el nivel de protección.

Atributos y valores de atributos

En la norma ISO 27002:2022 se ha introducido por primera vez otra innovación para ayudar a los responsables de seguridad a navegar por la amplia combinación de medidas: En el Anexo A de la norma, se almacenan cinco atributos con valores de atributos asociados para cada medida.

Los atributos y valores de atributos son:

Tipos de control

• El tipo de control es un atributo para la vista de los controles desde el punto de vista de cuándo y cómo un control cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.
• #preventivo #detectivo #correctivo

Propiedades de la seguridad de la información

• Las propiedades de seguridad de la información son un atributo que se puede usar para ver los controles desde la perspectiva de qué objetivo de protección se pretende que admita el control.
• #Confidencialidad #Integridad #Disponibilidad

Conceptos de ciberseguridad

• Los conceptos de ciberseguridad analizan los controles desde la perspectiva de la asignación de controles al marco de ciberseguridad descrito en ISO/IEC TS 27110.
• #Identificar Proteger Detectar Responder Recuperar

Capacidades operativas

• La capacidad operativa analiza los controles desde la perspectiva de sus capacidades de seguridad de la información operativa y admite una vista práctica de los controles por parte del usuario.
• #Seguridad de las aplicaciones #Gestión de activos #Continuidad #Protección de datos #Gestión de recursos humanos #Gestión de identidades y accesos #Gestión de eventos de seguridad de la información #Legalidad y cumplimiento #Seguridad física #Configuración segura #Garantía de seguridad #Seguridad en las relaciones con los proveedores #Seguridad de sistemas y redes #Gestión de amenazas y vulnerabilidades

Dominios de seguridad

• Los dominios de seguridad son un atributo que se puede usar para ver los controles desde la perspectiva de cuatro dominios de seguridad de la información.
• #Gobernanza_y_Ecosistema #Protección #Defensa #Resiliencia

Los valores de los atributos marcados con hashtags pretenden facilitar a los responsables de la seguridad el acceso al amplio catálogo de medidas de la guía estándar, así como la búsqueda y evaluación de las mismas de forma específica.

Cambios en la norma ISO 27002: Una conclusión

La nueva edición de la norma ISO 27002 ofrece a los responsables de la seguridad de la información una perspectiva precisa de los cambios que se convertirán en la nueva norma de certificación con la nueva edición de la norma ISO 27001. Al mismo tiempo, las innovaciones se mantienen dentro de un marco manejable: La reestructuración del catálogo de medidas hace que la norma sea más transparente y es, sin duda, un paso en la dirección correcta en vista de la creciente complejidad y la disminución de la transparencia de las arquitecturas de seguridad. Las nuevas medidas incluidas tampoco sorprenderán a los expertos en seguridad con experiencia y modernizan considerablemente la anticuada norma ISO.

Qué significa la actualización para su certificación

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Esto da como resultado los siguientes plazos y plazos para la transición de los usuarios:

Última fecha para auditorías iniciales/recertificación según la "antigua" ISO 27001:2013

• Después del 30 de abril de 2024, DQS realizará auditorías iniciales y de recertificación únicamente de acuerdo con la nueva norma ISO/IEC 27001:2022

Transición de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022

• Existe un período de transición de 3 años a partir del 31 de octubre de 2022.
• Los certificados emitidos según ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 a más tardar o deben retirarse en esta fecha.

DQS: Simplemente aprovechando la calidad

Nuestras auditorías de certificación le proporcionan claridad. La visión holística y neutral desde el exterior sobre las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión, cómo se implementa y cómo se domina. Para nosotros es importante que usted perciba nuestra auditoría no como una prueba, sino como un enriquecimiento de su sistema de gestión.

Nuestra reclamación siempre empieza donde terminan las listas de comprobación de la auditoría. Preguntamos específicamente "por qué", porque queremos entender los motivos que le han llevado a elegir una determinada forma de implantación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. De este modo, podrá identificar opciones de actuación con las que podrá mejorar continuamente su sistema de gestión.