Advertising

Actualizan la norma 27001:2022, va contra ciberataques sofisticados en las organizaciones

Elenne Castro.
Octubre 21, 2022

Advertising

Font size:
Imprimir

México ocupa el segundo lugar en Latinoamérica donde los ciberataques se han incrementado desde la pandemia hasta un 400%; ante este panorama, la actualización para la ISO /IEC 27001:2022, Sistema de Gestión de Seguridad de la Información (SGSI), se lanza a nivel mundial.

Mario Ureña, auditor líder de BSI y especialista en ciberseguridad, comentó que después de nueve años se da a conocer la nueva ISO que responde a los retos y escenarios actuales en la industria y los negocios.

69% de los líderes empresariales alrededor del mundo reconocieron un incremento de los ataques en línea dirigidos hacia sus compañías de acuerdo con Deloitte, en la Encuesta sobre el futuro del ‘Cyber’ 2021.

La reconocida norma para la seguridad de la información, ciberseguridad y protección de la privacidad ISO /IEC 27001:2022 ha crecido ante estos retos y riesgos como la columna vertebral en la que se han apoyado muchas otras normativas para la gobernanza de TI y refleja la creciente digitalización de las organizaciones en todos los rubros.

Los nuevos riesgos han presionado para obtener mejoras en la ISO especializada en el rubro de la categorización y gestión de los controles de seguridad: Esto permite que las mejores prácticas sean reconocidas en una amplia gama de servicios y procesos digitales en muchos sectores de la industria.

Así, la ISO renovada responde de forma más precisa contra las vulnerabilidades, considerando que la guía ISO 27002:2022 representa los controles de Seguridad de la Información, y que la actualización se integra a ésta para atender y responder a los nuevos escenarios. Es decir, su contenido es más completo y potente porque considera aspectos como la resiliencia, protección, gestión y defensa.

Para entender mejor cómo se comporta lo que conocemos como Amenazas Persistentes Avanzadas (Advanced Persistent Threat  -APT-) las empresas se han dado a la tarea de ponerse al día, motivando la implementación de mecanismos de inteligencia de última generación. 

Para Mario Ureña, los controles de riesgo en la nube se convierten en fundamentales ante el incremento de los ataques, “en el uso de estas plataformas y los servicios que proporciona”.

Protección de datos personales. Desde 2013 ha habido cambios y la publicación de documentos importantes para la protección de datos personales, que también se alinean a leyes y regulaciones que están surgiendo en otros países. 

Considerando a la información y la tecnología general como un activo crítico para tener continuidad de negocio, ahora se asocian las normas a controles más específicos que inclusive tienen un desarrollo propio, como es el caso de la ISO 27031, cuya misión es la protección y recuperación de la tecnología en beneficio de la Continuidad de Negocio.

Un sistema de gestión preparado para la integración. Como cada ISO, la nueva 27001 cuenta con una estructura de Alto Nivel, en la que destaca una nueva cláusula que formaliza la necesidad de tener actividades particularmente orientadas a gestionar los cambios. Esto permite que la actualización sea más útil porque incluye atributos que permiten identificar los controles, alineándolos a otros marcos de referencia y definiendo etapas muy concretas: Identificar, Proteger, Detectar, Recuperar y Responder a los riesgos.

La norma anterior estaba conformada con 114 controles de seguridad y con la actualización ahora sólo se incluyen 93, debido a que algunos ya no respondían a las necesidades de hoy; sin embargo, se privilegió, por ejemplo, el teletrabajo: “Por la pandemia, se dio un giro completo a este tipo de controles, porque ahora la mayoría de las organizaciones hacen uso del trabajo remoto y de la criptografía”, explica el especialista.

Se advierten pérdidas millonarias. Las organizaciones que no se actualicen en 27001:2022 podrían sufrir sensibles costos económicos reflejados en pérdidas de ventas, productividad, reputación o clientes, en especial en industria de salud o automotriz, donde las pérdidas podrían ser millonarias. 

Impacto reputacional. Las empresas que son atacadas suelen convertirse en objetivos de crítica en redes sociales y medios de comunicación, cuestionando su fiabilidad y subrayando su responsabilidad en la protección de los datos. 

Pérdida de control operativo. Esto puede generar conflictos con clientes o proveedores, al no tener la certeza de asegurar el manejo de las transacciones. Ese es un riesgo que no se percibe tan claramente como los otros, señala el experto. 

Incumplimiento legal y regulatorio: Casi todos los países ya cuentan con regulaciones en estos temas. Hay delitos informáticos que están tipificados y hay leyes de protección de datos personales, por lo que las empresas que no implementen los suficientes controles corren el riesgo de caer en incumplimientos de carácter legal y regulatorio.

Los beneficios inmediatos de la actualización, entre otros: 

  • Reducir incidentes de seguridad de la información y sus costos asociados
  • Mejorar la reputación de la organización demostrando su compromiso y diligencia
  • Conseguir más negocios, sobre todo en procesos de licitación públicos y privados
  • Soporte para el cumplimiento legal y regulatorio
  • Disminuir posibles multas y/o sanciones relacionadas con eventos de seguridad
  • Proteger sus activos más importantes y los datos personales de sus colaboradores, clientes y socios de negocio.

CUADRO DE DATA

Los controles de la actualización están etiquetados como preventivos, detectivos o correctivos, y buscan ordenar, filtrar la información y que sea más fácil asignar roles, funciones y acciones que deban dar seguimiento en la protección de la información.

Comparados con la norma anterior, los controles que integran esta norma se redujeron, de 114 a 93 controles, divididos en los siguientes temas:  ocho relacionados al personal, 14 para objetos físicos de los cuales uno es nuevo, 34 para tecnología con siete nuevos, y 37 para aspectos organizacionales con tres controles nuevos. Las amenazas constantes como los ciberataques son los que más han crecido en estos últimos años: 

  • Ransomware
  • Secuestro de la información
  • Denegación de servicio (DDoS).

Según un informe de Radware, el 33% de los ataques DDoS duran una hora; el 60 por ciento dura menos de un día completo; y el 15 por ciento dura hasta un mes y tiene ganancias millonarias. La primera versión de ISO 27001 como estándar internacional se publicó en el año 2005; sin embargo, su origen se remonta al año 1995 como estándar británico (BS 7799).


DOCUMENTOS TÉCNICOS

Xilin

Guía de selección de Equipos de Movimiento de Materiales para almacenes

Descargar este documento
Phillips Precision, Inc.

Innovaciones en fijación modular reducen tiempo de inactividad para una producción más eficiente.

Descargar este documento
TestEquity

Precisión e innovación, ventajas competitivas en Prueba y Medición

Descargar este documento
34.BI-MU

Las facetas de la innovación en la industria mundial de máquinas herramienta

Descargar este documento

TE PUEDE INTERESAR

Descubre las últimas novedades de la industria en nuestra edición impresa, disponible en formato digital.

Ver todas las ediciones