La ISO 27002 es una normativa esencial para la seguridad de la información, proporcionando directrices actualizadas y flexibles para adaptarse a los desafíos digitales actuales. Su enfoque se centra en ofrecer prácticas óptimas y controles detallados para proteger la información. Esta norma se complementa con la ISO 27001, la cual establece un sistema de gestión integral para la seguridad de la información (SGSI). Mientras que la ISO 27002 guía sobre cómo implementar controles de seguridad, la ISO 27001 define los requisitos para un SGSI eficaz, haciendo de ambas un dúo indispensable para la gestión y protección de la información en organizaciones de todo tipo.
Con la llegada de la nueva versión de la ISO/IEC 27002:2022, actualizada en 2022, incluye una serie de controles y recomendaciones detalladas para ayudar a las organizaciones a gestionar y proteger la información de manera efectiva. En comparación con su versión anterior, se ha reestructurado significativamente para ser más flexible y adaptarse mejor a las necesidades cambiantes de seguridad en la era digital.
A continuación, vamos a presentar las novedades de la nueva ISO/IEC 27002:2022
ISO 27002:2022 - Nuevos controles y Estrategias Adaptativas
En la era actual, marcada por una transformación digital acelerada y desafíos de ciberseguridad en constante evolución, la adaptabilidad y la previsión son esenciales para la protección efectiva de la información. Entendiendo la importancia de adaptarse a estos cambios, la ISO 27002:2022 se destaca como una guía crucial, alineándose perfectamente con el cambiante entorno digital actual. Esta norma, pilar en la gestión de la seguridad de la información, ha experimentado una revisión significativa, poniendo un énfasis particular en la introducción de nuevos controles pertinentes y necesarios para afrontar los retos actuales y futuros.
Uno de los cambios más destacados en la ISO 27002:2022 es la reestructuración de los controles en su Anexo A. Se ha producido una consolidación notable, pasando de 114 controles distribuidos en 14 cláusulas a 93 controles agrupados en solo 4 cláusulas. Esta integración y simplificación reflejan un enfoque más fluido y eficiente, permitiendo a las organizaciones centrarse en controles más relevantes y cohesivos.
Además, la norma introduce 11 nuevos controles, una respuesta directa a las nuevas realidades de la ciberseguridad. Estos controles abordan aspectos críticos como la seguridad en la nube, la inteligencia de amenazas, y la continuidad de las TIC, entre otros. Estas adiciones no solo refuerzan la capacidad de las organizaciones para enfrentar amenazas modernas, sino que también subrayan la importancia de una estrategia de seguridad que evoluciona en paralelo con las tecnologías emergentes y los patrones cambiantes de amenazas.
Este artículo se sumerge en el análisis de estos nuevos controles, desglosando su relevancia y aplicabilidad en el entorno empresarial actual. Al comprender y aplicar efectivamente estos controles, las organizaciones pueden fortalecer su postura de seguridad, manteniendo la integridad, la confidencialidad y la disponibilidad de su información en un mundo cada vez más interconectado y dependiente de la tecnología
5.7 Inteligencia de Amenazas
En el panorama actual, caracterizado por su constante evolución y sofisticación, las amenazas a la seguridad de la información representan un desafío significativo para las organizaciones. Estas amenazas abarcan desde acciones deliberadas de ciberdelincuentes, empleando tácticas como malware, ransomware y phishing, hasta incidentes no intencionados como errores humanos y fallos técnicos.
Ante este escenario, la actualización de la ISO 27002:2022 ha incorporado la «Inteligencia de Amenazas» como un control esencial. Este proceso implica la recopilación, análisis y distribución de información sobre amenazas cibernéticas. La inteligencia de amenazas provee a las organizaciones una comprensión profunda y detallada de las amenazas actuales y emergentes, permitiéndoles adoptar un enfoque proactivo para la mitigación de riesgos y la protección de sus activos de información.
La implementación de la inteligencia de amenazas en una organización implica varios niveles de acción:
- Inteligencia Estratégica: Se centra en el intercambio de información de alto nivel sobre el cambiante panorama de amenazas, como los tipos de atacantes y sus métodos.
- Inteligencia Táctica: Se relaciona con la información sobre las metodologías, herramientas y tecnologías utilizadas por los atacantes.
- Inteligencia Operativa: Incluye detalles específicos sobre ataques concretos, con indicadores técnicos y otros datos relevantes.
Para que la inteligencia de amenazas sea efectiva, debe ser:
- Relevante: Relacionada directamente con la protección de la organización.
- Perspicaz: Proporcionando una comprensión precisa y detallada del entorno de amenazas.
- Contextual: Añadiendo contexto a la información para una mejor comprensión situacional.
- Procesable: Permitiendo a la organización actuar rápidamente y de manera efectiva.
La adopción de esta práctica no solo mejora la capacidad de una organización para prevenir, detectar y responder a las amenazas, sino que también fortalece su postura general de seguridad de la información. Además, el intercambio de inteligencia sobre amenazas entre organizaciones puede mejorar colectivamente la capacidad de defensa frente a amenazas comunes y emergentes. La efectividad de controles como la gestión de configuraciones, la detección de intrusos y las soluciones antimalware puede verse significativamente potenciada por la calidad de la inteligencia de amenazas disponible.
5.23 Seguridad de la Información para el Uso de Servicios en la Nube
La creciente dependencia de los servicios en la nube ha llevado a la inclusión de un control específico en la ISO 27002:2022, enfocado en la seguridad de la información en este entorno. La adopción de servicios en la nube implica considerar cuidadosamente cómo se adquieren, utilizan, gestionan y, finalmente, se abandonan estos servicios, alineándolos con los requisitos de seguridad de la información de la organización.
La clave de este control radica en la definición y comunicación de una política clara sobre el uso de servicios en la nube. Las organizaciones deben establecer cómo manejarán los riesgos de seguridad asociados con estos servicios. Esto puede involucrar una responsabilidad compartida entre el proveedor de servicios en la nube y la organización cliente. La definición precisa de responsabilidades y la aplicación adecuada de controles de seguridad son fundamentales.
Aspectos importantes a considerar incluyen:
- Establecer requisitos de seguridad específicos para el uso de servicios en la nube.
- Definir criterios para la selección y uso de estos servicios.
- Gestionar adecuadamente los controles de seguridad, tanto los proporcionados por el proveedor como los que corresponden a la organización cliente.
Además, es crucial evaluar los acuerdos de servicio en la nube, enfocándose en aspectos como la confidencialidad, la integridad, la disponibilidad y el tratamiento de la información, así como realizar evaluaciones de riesgo pertinentes. La organización también debe tener estrategias claras para cambiar o cesar el uso de servicios en la nube, considerando aspectos como la portabilidad de los datos y las estrategias de salida.
5.30 Preparación de las TIC para la Continuidad de la Actividad
Este control profundiza en la preparación de las Tecnologías de la Información y la Comunicación (TIC) como un factor esencial para asegurar la continuidad del negocio. Para ello, la preparación de las TIC no solo debe planificarse con cuidado, sino también implementarse de manera efectiva, mantenerse actualizada y someterse regularmente a pruebas. Esto debe hacerse alineándolo con los objetivos de continuidad del negocio y los requisitos específicos de continuidad de las TIC, garantizando así que la infraestructura tecnológica esté lista para responder en caso de interrupciones.
El análisis de impacto en el negocio (BIA) juega un rol vital en este proceso. Este análisis ayuda a comprender los efectos potenciales de una interrupción en las operaciones empresariales, identificando los recursos TIC críticos necesarios para sostener las actividades clave. A partir de los resultados del BIA y una evaluación de riesgos exhaustiva, la organización puede tomar decisiones informadas sobre las estrategias de continuidad más apropiadas para sus servicios TIC.
Además, este control incluye diversos aspectos clave:
Estructura Organizativa: Desarrollar una estructura organizativa robusta para la preparación y respuesta rápida ante interrupciones, asegurando que haya roles y responsabilidades claramente definidos.
Planes de Continuidad de las TIC: Crear planes detallados que incluyan procedimientos específicos para la respuesta y recuperación en caso de incidentes. Estos planes deben ser integrales y cubrir todos los aspectos críticos de las operaciones TIC. La ISO 27031 establece lineamientos y fundamentos relacionados con las Tecnologías de la Información y la Comunicación (TIC) para promover la continuidad operativa en organizaciones de distintos tipos. A través del desglose de varios procesos, esta norma facilita la identificación de áreas de mejora en la gestión de las tecnologías de comunicación e información dentro de las empresas.
Especificaciones de Rendimiento y Capacidad: Definir claramente las especificaciones de rendimiento y capacidad para los servicios TIC, incluyendo objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO). Estos parámetros son cruciales para asegurar que los servicios prioritarios puedan restablecerse rápidamente y con la calidad adecuada tras una interrupción. La «ISO 22317 – Directrices para el Análisis de Impacto en el Negocio» establece directrices fundamentales para el desarrollo e implementación del Análisis de Impacto en el Negocio (BIA por sus siglas en inglés).
Conclusión
En este artículo, hemos explorado la esencia de la primera parte de los nuevos controles de la ISO 27002:2022, una normativa clave en el ámbito de la ciberseguridad. Hemos discutido cómo se ajusta a los desafíos de la era digital mediante la introducción de nuevos controles y una reestructuración significativa de su Anexo A. Estos cambios reflejan un enfoque más dinámico y adaptativo hacia la gestión de la seguridad de la información, permitiendo a las organizaciones enfrentar eficazmente las amenazas modernas.
En el próximo artículo de nuestro blog, «ISO 27002:2022 – Nuevos Controles de Seguridad. Parte II«, continuaremos profundizando en estas actualizaciones. Exploraremos en detalle el resto de los nuevos controles, su importancia y cómo pueden ser implementados prácticamente en las estrategias de seguridad de las organizaciones.
