La Norma actualizada considera aspectos como la resiliencia, protección, gestión y defensa y responde a los escenarios de ciberataques, vulnerabilidades y robos de información.
México es el segundo lugar en LATAM, después de Brasil, donde los ciberataques se han incrementado desde la pandemia hasta 400%; ante este panorama, la actualización para la ISO /IEC 27001:2022, Sistema de Gestión de Seguridad de la Información (SGSI), se lanza a nivel mundial, después de 9 años se da a conocer la nueva ISO que responde a los retos y escenarios actuales en la industria y los negocios.
69% de los líderes empresariales alrededor del mundo reconocieron un incremento de los ataques en línea dirigidos hacia sus compañías de acuerdo con Deloitte, en la Encuesta sobre el futuro del ‘Cyber’ 2021[1].
La reconocida norma para la seguridad de la información, ciberseguridad y protección de la privacidad ISO /IEC 27001:2022 ha crecido ante estos retos y riesgos como la columna vertebral en la que se han apoyado muchas otras normativas para la gobernanza de TI y refleja la creciente digitalización de las organizaciones en todos los rubros.
Los nuevos riesgos han presionado para obtener mejoras en la ISO especializada en el rubro de la categorización y gestión de los controles de seguridad: Esto permite que las mejores prácticas sean reconocidas en una amplia gama de servicios y procesos digitales en muchos sectores de la industria.
Así, la ISO renovada responde de forma más precisa contra las vulnerabilidades, considerando que la guía ISO 27002:2022 representa los controles de Seguridad de la Información, y que la actualización se integra a ésta para atender y responder a los nuevos escenarios. Es decir, su contenido es más completo y potente porque considera aspectos como la resiliencia, protección, gestión y defensa.
Las más recientes experiencias han sido el detonante para que las organizaciones efectúen cambios sensibles en sus enfoques de monitoreo de eventos de ciberseguridad, para mejorar la detección y la respuesta a éstos.
Para entender mejor cómo se comporta lo que conocemos como Amenazas Persistentes Avanzadas (Advanced Persistent Threat -APT-) las empresas se han dado a la tarea de ponerse al día, motivando la implementación de mecanismos de inteligencia de última generación. Los controles de riesgo en la nube se convierten en fundamentales ante el incremento de los ataques, en el uso de estas plataformas y los servicios que proporciona.
- Protección de datos personales. Desde 2013 ha habido cambios y la publicación de documentos importantes para la protección de datos personales, que también se alinean a leyes y regulaciones que están surgiendo en otros países. Considerando a la información y la tecnología general como un activo crítico para tener continuidad de negocio, ahora se asocian las normas a controles más específicos que inclusive tienen un desarrollo propio, como es el caso de la ISO 27031, cuya misión es la protección y recuperación de la tecnología en beneficio de la Continuidad de Negocio.
- Un sistema de gestión preparado para la integración. Como cada ISO, la nueva 27001 cuenta con una estructura de Alto Nivel, en la que destaca una nueva cláusula que formaliza la necesidad de tener actividades particularmente orientadas a gestionar los cambios. Esto permite que la actualización sea más útil porque incluye atributos que permiten identificar los controles, alineándolos a otros marcos de referencia y definiendo etapas muy concretas: Identificar, Proteger, Detectar, Recuperar y Responder a los riesgos.
Dichos atributos permiten establecer una estrategia basada en los objetivos de la organización, ya más específicos en el ámbito de seguridad.
La norma anterior estaba conformada con 114 controles de seguridad y con la actualización ahora sólo se incluyen 93, debido a que algunos ya no respondían a las necesidades de hoy; sin embargo, se privilegió, por ejemplo, el teletrabajo. Por la pandemia, se dio un giro completo a este tipo de controles, porque ahora la mayoría de las organizaciones hacen uso del trabajo remoto y de la criptografía.
- Se advierten pérdidas millonarias. Las organizaciones que no se actualicen en 27001:2022 podrían sufrir sensibles costos económicos reflejados en pérdidas de ventas, productividad, reputación o clientes, en especial en industria de salud o automotriz, donde las pérdidas podrían ser millonarias.
- Impacto reputacional. Las empresas que son atacadas suelen convertirse en objetivos de crítica en redes sociales y medios de comunicación, cuestionando su fiabilidad y subrayando su responsabilidad en la protección de los datos.
- Pérdida de control operativo. Esto puede generar conflictos con clientes o proveedores, al no tener la certeza de asegurar el manejo de las transacciones. Ese es un riesgo que no se percibe tan claramente como los otros.
- Incumplimiento legal y regulatorio: Casi todos los países ya cuentan con regulaciones en estos temas. Hay delitos informáticos que están tipificados y hay leyes de protección de datos personales, por lo que las empresas que no implementen los suficientes controles corren el riesgo de caer en incumplimientos de carácter legal y regulatorio.
Los beneficios inmediatos de la actualización, entre otros:
- Reducir incidentes de seguridad de la información y sus costos asociados
- Mejorar la reputación de la organización demostrando su compromiso y diligencia
- Conseguir más negocios, sobre todo en procesos de licitación públicos y privados
- Soporte para el cumplimiento legal y regulatorio
- Disminuir posibles multas y/o sanciones relacionadas con eventos de seguridad
- Proteger sus activos más importantes y los datos personales de sus colaboradores, clientes y socios de negocio.
Con esta nueva versión encontramos que la referencia de actividades y de controles, permite a las organizaciones mantenerse actualizadas respecto a las nuevas prácticas de seguridad de la información, así como de nuevas áreas de estudio como la ciberseguridad, la protección de datos personales y de principios como la ciberesiliencia, un tema que está en crecimiento, todo orientado a la gestión de riesgos emergentes y de ataques sofisticados.
En este sentido, la función principal de la organización británica BSI, es compartir el conocimiento, la innovación y las mejores prácticas para ayudar a las personas y las organizaciones, así como el acompañamiento en los procesos de entrenamiento y certificación de personas y organizaciones.
CUADRO DE DATA
Los controles de la actualización están etiquetados como preventivos, detectivos o correctivos, y buscan ordenar, filtrar la información y que sea más fácil asignar roles, funciones y acciones que deban dar seguimiento en la protección de la información.
Comparados con la norma anterior, los controles que integran esta norma se redujeron, de 114 a 93 controles, divididos en los siguientes temas: ocho relacionados al personal, 14 para objetos físicos de los cuales uno es nuevo, 34 para tecnología con siete nuevos, y 37 para aspectos organizacionales con tres controles nuevos.
Las amenazas constantes como los ciberataques son los que más han crecido en estos últimos años: 1) Ransomware, 2) Secuestro de la información y 3) Denegación de servicio (DDoS). Según un informe de Radware , el 33 por ciento de los ataques DDoS duran una hora; el 60 por ciento dura menos de un día completo; y el 15 por ciento dura hasta un mes y tiene ganancias millonarias.
La primera versión de ISO 27001 como estándar internacional se publicó en el año 2005; sin embargo, su origen se remonta al año 1995 como estándar británico (BS 7799).