La ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional) tienen la serie ISO 27000, que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Han revisado la nueva norma de seguridad de la información ISO 27002:2022 a partir de la anterior ISO 27002:2013. En la nueva norma se ha introducido una nueva estructura y varios controles nuevos.
¿Qué hay de nuevo?
En la nueva norma, el número de controles ha disminuido a 93 como resultado de la eliminación de algunos controles, la fusión de algunos controles y la adición de 11 nuevos controles.
Control 5.7 - Inteligencia sobre amenazas
Una adición notable a la nueva norma es el Control 5.7, que se refiere a la Inteligencia de Amenazas. Esto cubre la necesidad de que las organizaciones recopilen, analicen y produzcan inteligencia sobre amenazas relacionadas con la seguridad de la información. En el entorno actual de un panorama de amenazas en constante cambio, la inteligencia sobre amenazas cibernéticas permite a las empresas tomar medidas preventivas antes de que comience un ataque.
Para lograr la máxima eficacia, la ISO aconseja tres aspectos de la inteligencia.
¿Qué deben hacer las organizaciones?
Empiece por evaluar lo que es relevante para usted y compare las tendencias del mercado con sus pares, combinadas con el asesoramiento de expertos y conjuntos de datos válidos y actuales. Las organizaciones deben adoptar un enfoque proactivo montando sus medidas de protección antes de que se produzca una infracción.
Relevancia para la certificación ISO 27001
No es necesario tomar medidas inmediatas, ya que la norma ISO/IEC 27001 no se ha actualizado hasta ahora. Pero es importante empezar a revisar y actualizar los controles internos antes de la actualización prevista de la norma ISO 27001:2022. Estas directrices y mejores prácticas ayudan a alinearse mejor con los requisitos de la ISO 27001 para obtener la certificación. La inclusión de la Inteligencia de Amenazas destaca su creciente importancia en el SGSI y puede sentar un precedente para otras normativas y certificaciones.
De reactivo a proactivo
Es importante conocer el panorama de las amenazas y actuar rápidamente en consecuencia, en lugar de retrasarse en la aplicación de parches a las vulnerabilidades dejando que los actores de las amenazas las exploten. La inteligencia sobre amenazas, que forma parte de los esfuerzos de ciberseguridad de las organizaciones, ayuda a los equipos de seguridad a prepararse de forma proactiva para las próximas amenazas.
Lo que cambia
Los elementos críticos requeridos para la certificación en la primera mitad de la norma ISO 27001: 2013, las cláusulas 4-10, no se espera que cambien en la versión 2022 que viene. Sin embargo, en febrero de este año, la organización ISO publicó la norma ISO 27002: 2022, que sustituye a su versión anterior ISO 27002: 2013.
La norma ISO/IEC 27002 refleja esencialmente todos los controles del Anexo A de la norma ISO 27001 y proporciona una guía de implementación muy detallada para cada control. Cuando se publique la nueva versión de la ISO/IEC 27001, es de esperar que los controles del Anexo A coincidan con los de la nueva ISO 27002: 2022. Por lo tanto, podemos tomar la ISO/IEC 27002: 2022 como una guía útil sobre lo que podemos esperar.
Es importante tener en cuenta que, a diferencia de las cláusulas de la primera mitad del documento ISO/IEC 27001, que deben cumplirse en su totalidad para obtener la certificación ISO 27001, los controles de la ISO 27002 no son obligatorios, sino un conjunto de referencia de controles genéricos de seguridad de la información que están diseñados para ser utilizados por las organizaciones:
- En el contexto de un sistema de gestión de la seguridad de la información (SGSI) basado en la norma ISO/IEC 27001
- Para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente
- Para desarrollar directrices de gestión de la seguridad de la información específicas de la organización
- Para las actualizaciones de 2022, el número de controles ha disminuido de 114 a 93 y se encuentran en 4 secciones en lugar de las 14 anteriores. La disminución de los controles es el resultado de las fusiones, no de la eliminación.
Más detalles: https://www.iso.org/standard/75652.html
Fuente: somoslibres
