¿Cómo surge la Norma ISO/IEC 27001?

Después de que esta norma aparece en 1990 como un estándar de seguridad, la Organización de Estándares Internacionales la publica como ISO 17799 al inicio de la década de los 2000. Y, cinco años después, cambia su nombre a ISO 27001.

Es así como esta norma ha pasado por tres revisiones hasta llegar a la actual, misma que fue publicada en febrero 2022 y cuyo periodo de transición para las empresas se espera que finalice en octubre de 2025.

Cada organización que cuente con este estándar o quiera implementarlo, debe conocer los cambios que implicó la nueva versión:

1. a) Nuevo nombre de la norma de “Código de prácticas para los controles de seguridad de la información” a “Código de prácticas para los controles de seguridad de la información, ciberseguridad y protección de la privacidad”.
2. b) Nueva nomenclatura y estructura al cambiar de 14 dominios a sólo 4 grandes dominios (organizacionales, físicos, tecnológicos y de personas).
3. c) Reducción de 114 a 93 controles (11 nuevos): 

1. Inteligencia de amenazas
2. Seguridad de la información para el uso de servicios en la nube
3. Preparación de las TIC para la continuidad del negocio
4. Monitoreo de la seguridad física
5. Gestión de la configuración
6. Eliminación de información
7. Enmascaramiento de datos
8. Prevención de fuga de datos
9. Monitoreo de actividades
10. Filtrado Web 
11. Codificación segura

1. d) Los cambios en las cláusulas son los siguientes:

• Cláusula 4. Al Identificar el contexto interno y el entorno de la organización, se debe considerar el ciberespacio. Al Identificar grupos de interés, incluir grupos que estarán contribuyendo con el control de la privacidad y la ciberseguridad. 
• Cláusula 5. Incluir en la Política de Seguridad de la Información la ciberseguridad y protección de la privacidad.
• Cláusula 6. En la gestión de riesgos considerar activos personales y del ciberespacio. Además de planificar los cambios que se implementarán.
• Cláusula 7. Considerar los recursos para cubrir privacidad y ciberseguridad.
• Cláusula 8. Sin modificación.
• Cláusula 9. Monitorear los nuevos controles.
• Cláusula 10. La mejora debe considerar cambios tecnológicos en el ciberespacio.

El principal motivo de actualización es adaptarse a la nueva realidad de trabajo de muchas empresas alrededor del mundo. Y en esta dinámica el trabajo a distancia y el control de nuevos ciberataques, ocupan un lugar importante.

Toma en cuenta las 4 acciones para la versión 2022 de la Norma ISO/IEC 27001

Ante los cambios, las principales acciones que se esperan por parte de las empresas son las siguientes:

1. Actualizar el proceso de tratamiento de riesgos considerando los nuevos controles.
2. Actualizar la declaración de aplicabilidad.
3. Modificar políticas y procedimientos existentes.
4. Incluir métricas e indicadores de seguridad.

¿Tienes dudas o te gustaría obtener más información? 

En Itera podemos brindarte servicios y soluciones de consultoría sobre asuntos de ciberseguridad, nube y norma ISO/IEC 27001.

Contacta con un especialista:

seguridad@iteraprocess.com

Este documento proporciona un conjunto de referencias de controles genéricos de seguridad de la información, incluida una guía de implementación. 

Está diseñado para ser utilizado por organizaciones:

27001. a) Dentro del contexto de un sistema de gestión de seguridad de la información (SGSI) basado en ISO/IEC 27001.
27002. b) Para implementar controles de seguridad de la información basados ​​en las mejores prácticas reconocidas internacionalmente.
27003. c) Para desarrollar sus directrices de gestión de la seguridad de la información específicas.

Información General

• Estado :  Publicado
• Fecha de publicación : 2022-02
• Edición : 3
• Número de páginas : 152
• Cómite técnico: ISO/CEI JTC 1/SC 27 Seguridad de la información, ciberseguridad y protección de la privacidad.
• ICS :35.030 Seguridad informática.

Principales cambios

El desarrollo de la nueva norma contempla la reducción de controles, pasando de los 114 existentes en la versión 2013 a 93 controles en la nueva versión ISO/IEC 27002:2022. Se agruparon algunos controles de la versión 2013 y se definen 11 nuevos controles.

Nuevos Controles

En total se definen 11 nuevos controles, los cuales corresponden a:

• Inteligencia de Amenazas.
• Seguridad de la información para el uso de servicios en la nube.
• Preparación de las TIC para la continuidad del negocio.
• Monitoreo de la seguridad física.
• Gestión de la configuración.
• Eliminación de la información.
• Enmascaramiento de datos.
• Prevención de la fuga de datos.
• Monitoreo de actividades.
• Filtrado Web.
• Codificación Segura.

¿Tienes dudas o te gustaría obtener más información? 

En Itera podemos brindarte servicios, soluciones y consultoría de las normas ISO/IEC 27001:2013 y 27002, entre otras.

Contacta con un especialista:

seguridad@iteraprocess.com

delfino.vazquez@iteraproces.com

Fuente: 

https://www.iso.org/standard/75652.html

Sin la tecnología necesaria ni las habilidades técnicas suficientes, es imposible concluir satisfactoriamente un proyecto. Mucho menos aún careciendo de los servicios adecuados en la nube para aprovechar al máximo sus bondades.

Porque diseñar nuevos aplicativos o modernizarlos implica sumar tecnología y una experiencia enfocada en la calidad e innovación. El valor es auténtico cuando el desarrollo de un proyecto de software avanza en tiempo y forma hasta convertirse en una realidad funcional.

Mediante tecnologías como Python, Java, .Net. y R, así como de las plataformas cloud de AWS, Google y Azure, creamos la solución adecuada con las herramientas apropiadas y el conocimiento necesario que abarca además temas como Big Data, DevOps y desarrollos Mobile. Ejecutando de manera constante la mejora continua y mediciones de niveles de servicio.

EN LOS DETALLES ESTÁ LA DIFERENCIA

Si nos atrevemos a colocar un componente sagrado dentro de un proyecto tecnológico, está conformado por los objetivos de negocio de las organizaciones, puesto que definen los requerimientos de la solución. Con base en ello y las mejores prácticas, establecemos la estrategia, su plataforma de diseño y correspondientes estimaciones.

Un proceso donde el mantenimiento de aplicaciones es parte medular de nuestro servicio como fábrica de software, brindando también el valor con nuestra experiencia mediante una estrategia basada en Quick Wins y enfocada en la visión de la empresa.

AJUSTE NATURAL

Las necesidades de la organización definen el despliegue de los servicios digitales. Sea con marcos de referencia y modelos de operación tanto ágiles como tradicionales o híbridos, se experimenta una continua entrega de valor de la mano de la continuidad operativa asegurada ante cualquier contingencia. Todo ello con la experiencia en gobierno de TI y haciendo uso de las mejores prácticas como ISO, ITIL, COBIT, TOGAF, Scrum, CMM y DevOps.

Lo mismo ocurre si la infraestructura y sus componentes se ubican on premise o en la nube, los servicios funcionan de manera óptima. Y, cuando así se requiere, brindamos servicios de migración de bases de datos ó masivas, infraestructura y aplicaciones para trasladarlas a la nube –ya sea híbrida ó multi-nube–, con el fin de adquirir funcionalidades de analítica, inteligencia artificial o chatbot.

LO HUMANO; CLAVE TECNOLÓGICA

Cada parte del proceso se ejecuta en un escenario integrado por la experiencia y conocimiento de nuestros arquitectos y analistas de negocios, así como especialistas en seguridad, Data Science y Machine Learning. Haciendo uso también de Business Data Driven para que, en conjunto con la organización, puedan tomarse decisiones basadas en servicios de información confiables y oportunos para analizar, visualizar y predecir resultados de negocio.

ADAPTABILIDAD PROPOSITIVA

Una vez puesto en marcha el software, su funcionamiento marca la pauta para la mejora continua. Etapa en la que se efectúa la resolución de problemas de mantenimientos y desarrollos.  Esto permite detectar oportunidades generadoras de propuestas que sumen al negocio. 

Mediante la asignación de talentos adecuados con amplia experiencia en PMO, gobierno de TI, administración de proveedores y aseguramiento de calidad, efectuamos el proceso de validación, el cual está presente en los entregables periódicos que conforman el proyecto. De esta manera alcanzamos una planeación adecuada, validando cada aspecto para el cumplimiento de procesos.

Así llegamos hasta el punto donde un entregable tangible pueda tomarlo el equipo de pruebas para su ejecución. El resultado es un entregable de calidad y funcional. Un resultado que va más allá de las buenas intenciones. Un resultado que surge de la experiencia en diversas organizaciones comerciales, industriales y gubernamentales.

Con el conocimiento especializado y esquemas de trabajo adaptables, en Itera hacemos que el software suceda con éxito en tu organización, de forma integrada y sin interrupciones operativas. Es así como se activa nuestra maquinaria de soluciones en cada proyecto. Porque en realidad, no sabemos hacerlo de otra manera.