Boris Delgado
Director de Soluciones de Digitalización y Tecnología
Marta Allue
Coordinadora Técnica de Certificación TIC
Carlos Manuel Fernández
Asesor Estratégico de TI
AENOR
La evolución de las Tecnologías de la Información y las Comunicaciones (TIC) continúa avanzando a pesar de las graves consecuencias ocasionadas por la pandemia del COVID-19, a las que se suman además momentos tan críticos marcados por la invasión de Rusia a Ucrania o el alto coste energético.
En este escenario, la transformación digital se ha acelerado de forma inesperada, teniendo un profundo impacto en las organizaciones, en las industrias y en la sociedad.
El despliegue de escenarios tecnológicos como SMAC (Social-Mobility-Analytics-Cloud); el desarrollo de la Industria 4.0 (OT-Tecnologías de la Operación + IoT-Internet de las Cosas); la consideración en la mejora de los sistemas de comunicación como 5G; los actuales modelos de inteligencia artificial, machine learning y deep learning; las tecnologías disruptivas como Blockchain o incluso nuevos paradigmas como Edge-Computing, Metaverso, Web3; o la computación cuántica requieren de nuevas herramientas e instrumentos actualizados que hagan frente a las nuevas ciberamenazas y ciberriesgos de la actual sociedad digital.
Las Administraciones públicas de todos los países están realizando importantes esfuerzos por todos conocidos. Es el caso de los fondos de recuperación europeos y nacionales, que consideran la digitalización y la ciberseguridad como ámbitos prioritarios en sus estrategias de ayuda.
Así, la transformación digital es uno de los ejes principales muy presente en los fondos Next Generation EU, el instrumento con el que se apoya la recuperación económica tras la crisis provocada por el COVID-19.
Video. Conoce las principales novedades de las referencias en ciberseguridad
Respuesta a los retos actuales
Por todo ello, la ciberseguridad y privacidad de los sistemas y los datos son los retos actuales y futuros con mayor prioridad en los comités de dirección de las organizaciones para conseguir que la transformación digital sea una realidad. Se plantean tres cuestiones fundamentales:
- ¿Se conocen y gestionan los ciberriesgos y las ciberamenazas que puedan afectar a la organización en la actual era digital?
- ¿Somos capaces de detectar y gestionar un incidente de seguridad, informando de forma adecuada a los stakeholders y valorando el impacto en la organización?
- ¿Los datos y sistemas de información han sido comprometidos en los últimos seis meses?
Para dar respuesta a estas cuestiones, la Organización Internacional de Normalización (ISO), a través de su comité técnico ISO/IEC JTC 1/SC 27, tomó cartas en el asunto y en febrero de 2022 publicó la actualización de uno de sus estándares técnicos más reconocidos y utilizados: la ISO/IEC 27002 Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de Seguridad de la Información.
En este sentido, también en el ámbito nacional, los responsables del Esquema Nacional de Seguridad han agilizado la revisión del RD 3/2010, cuya actualización se publicó el pasado 4 de mayo.
Modelo de Ciberseguridad y Privacidad de AENOR
Fuente: aenor-TIC – Mayo 2022
Principales cambios de la Norma ISO/IEC 27002:2022
Con más de 15 años de historia, la ISO/IEC 27002 es una norma no certificable que ha sido una guía de implantación de controles de seguridad de la información. Sin embargo, está incluida en el Anexo de la ISO/IEC 27001 de Sistema de Gestión de Seguridad de la Información (SGSI), que sí es certificable, como referencia de los controles de seguridad que hay que aplicar, según el análisis de riesgos y conforme a la mejora continua.
De hecho, la publicación de la nueva versión de la ISO/IEC 27002 ha acelerado la futura actualización de la ISO/IEC 27001 que, previsiblemente, se produzca en el primer semestre de 2022.
La ISO/IEC 27002 proporciona un conjunto de controles generales de seguridad de la información, contemplando para cada uno de ellos una guía de implementación. Se ha diseñado para ser utilizada por las organizaciones públicas y privadas de tres posibles formas:
- En el contexto de un SGSI basado en la Norma ISO/IEC 27001 (en su Anexo A de controles para actualizar los 114 a 93 controles).
- Para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente.
- Para desarrollar sus propias directrices de gestión de la seguridad de la información.
Esta nueva versión de la ISO/IEC 27002 ofrece interesantes cambios, principalmente en su estructura que pasan por:
- Cambio de nombre del comité técnico de ISO que lo desarrolla y el nombre del estándar.
- Nueva estructura, considerando “temas” de seguridad de la información y considerando “atributos” de los controles.
- Nuevos controles e integración de otros, desde la anterior versión de 2013.
Novedades de la Norma ISO/IEC 27002
Novedades del ENS
Por su parte, el nuevo Real Decreto 311/2022, publicado el pasado 4 de mayo, regula el Esquema Nacional de Seguridad (ENS) y actualiza el publicado en 2010 y su posterior modificación de 2015.
La versión vigente del ENS establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de siete principios básicos, 15 requisitos mínimos, medidas de seguridad y mecanismos de conformidad y monitorización para la Administración pública, así como para los proveedores tecnológicos del sector privado que colaboran con la Administración.
Entre las novedades del nuevo ENS se encuentran:
- Evolución de los principios básicos: prevención, detección, respuesta y conservación, incluyendo el principio de vigilancia continua.
- Modificación de la terminología: de la seguridad por defecto a mínimo privilegio.
- Actualización de los controles/medidas de seguridad pasando de 75 a 73 medidas. Muchas de ellas se mantienen, otras han incrementado su exigencia y otras se han simplificado o eliminado:
- Marco Organizativo (se mantienen 4)
- Marco Operacional (de 31 a 33). Hay que destacar la incorporación de controles en entornos cloud (nube).
- Marco de Protección (de 40 a 36)
- Incorporación de la figura del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al ENS más eficaz y eficiente.
- Establecimiento de un protocolo de actuación ante ciberincidentes donde se establecen las condiciones de notificación al CCN-CERT (Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN).
- Nuevo sistema de codificación de los requisitos de las medidas de seguridad (refuerzos), cuyo objeto es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
Actualmente, AENOR está en proceso de actualización de su acreditación; y conforme a las últimas directrices de ENAC y el CCN, ninguna entidad certificadora acreditada por ENAC podrá emitir certificados con la nueva versión RD 311/2022 hasta el 1 de diciembre 2022.
AENOR está en proceso de actualización de su acreditación para la emisión de certificados con la nueva versión del RD 311/2022. Hasta el próximo 1 de diciembre las entidades de certifiación no podrán emitir estos nuevos certificados, según las directrices de ENAC y el CCN
Confianza para proteger la seguridad y privacidad de los datos
AENOR, fiel a su propósito de aportar soluciones que generen confianza entre organizaciones y personas, da respuesta a estos nuevos escenarios tecnológicos a través de la Plataforma de Confianza: ”Proteger la Seguridad y Privacidad de los datos”.
Esta plataforma de confianza se apoya en el modelo de ciberseguridad y privacidad de AENOR basado en estándares internacionales ISO. Toma como pilares fundamentales las Normas ISO/IEC 27001 e ISO/IEC 27002, teniendo en cuenta igualmente los actuales y futuros estándares internacionales ISO, así como leyes y reglamentaciones españolas y europeas en materia de ciberseguridad. Es el caso del nuevo ENS, el actual Reglamento General de Protección de Datos Personales, el RD 7/2022 sobre Seguridad 5G, la Directiva NIS2, la regulación DORA o Cybersecurity Act, entre otros.
La Plataforma de Confianza: ”Proteger la Seguridad y Privacidad de los datos” ofrece un modelo eficaz, eficiente y dinámico (en constante actualización) basado en las mejores prácticas. Y es que, los estándares ISO han sido consensuados por 155 expertos de 155 países y dotan de una mayor visión y capacidad de reacción a la ciberseguridad.
El nuevo ENS, la nueva Norma ISO/IEC 27002 y la inminente modificación en el Anexo A de la ISO/IEC 27001 permitirá seguir disponiendo de herramientas muy potentes y actualizadas que contribuya a la mejora de la ciberseguridad y seguridad digital, dando respuesta a las cuestiones que se plantean los comités de dirección de las organizaciones.
Es un hecho que las organizaciones españolas confían desde hace años en la certificación ISO/IEC 27001. Así lo pone de manifiesto el último informe ISO Survey, referente mundial en certificaciones de sistemas de gestión de acuerdo con normas internacionales ISO y que publica anualmente los datos actualizados de todos los países. Los datos sitúan a España en el top ten mundial por número de certificaciones y AENOR contribuye con más del 50 % de estos certificados.
Por último, no hay que olvidar que los estándares de ciberseguridad deben aportar soluciones a las organizaciones que las implantan y certifican. Además, tienen que considerar los retos que ya están sobre la mesa, como blockchain, BigData, Edge-computing, etc. y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos que tomarán decisiones en la actual sociedad digital.
Experiencia
Pioneros en seguridad de la información
Enrique Quintanilla Cabañero
Subdirector General de Infraestructura Tecnológica Sanitaria y Responsable de Seguridad de la Información
Ministerio de Sanidad
El Ministerio de Sanidad fue pionero en la Administración General del Estado en obtener en 2015 la certificación AENOR de Sistema de Gestión de Seguridad de la Información de acuerdo con la Norma ISO/IEC 27001. Se trata de un importante hito y un ejemplo para otras administraciones, ya que nos anticipamos en aquel momento a la tendencia actual de ciberseguridad, para aportar, ante todo, seguridad de la información en el Sistema Nacional de Salud y, por ende, al ciudadano. Este certificado puso de manifiesto nuestro compromiso con la sociedad, así como nuestro convencimiento de que la seguridad y la protección de la información sanitaria de los ciudadanos era un reto estratégico de la máxima prioridad. Todavía hoy, el Ministerio de Sanidad sigue siendo el único ministerio que cuenta con esta certificación de AENOR para sus servicios centrales.
Además, este hito facilitó y permitió que en 2018 obtuviéramos, gracias al enfoque integrado del equipo auditor de AENOR, la certificación de conformidad con el RD 3/2010 del Esquema Nacional de Seguridad para los sistemas de información que soportan servicios tan cruciales como Historia Clínica Digital del Sistema Nacional de Salud. Una vez más, fuimos el primer ministerio en obtener la certificación que demuestra el cumplimiento con esta ley.
Hoy día nos enfrentamos a múltiples amenazas y riegos en ciberseguridad y privacidad, y ser auditados periódicamente, nos permite mejora de los procesos internos, generando estructuras internas sólidas que incrementan la productividad y reducción de riesgos; además de la prevención de las posibles pérdidas ocasionadas por incidentes de seguridad.
Experiencia
Certificar la ciberseguridad y su cumplimiento normativo
Paula Ruiz-Olivares de la Calle
Cyber Security GRC Specialist
Vodafone España
Desde hace más de diez años, Vodafone cuenta con diferentes certificaciones AENOR que aplican a los sistemas de gestión de la seguridad de la información y servicios Cloud. Es el caso de los certificados de acuerdo con las Normas ISO/IEC 27001 e ISO/IEC 27017, o el Esquema Nacional de Seguridad (ENS) con el nivel alto. Las ventajas y oportunidades que estas certificaciones han proporcionado a nuestro negocio, así como para la protección y seguridad de nuestros servicios, son indudables.
Pero lo más interesante que hay que destacar es que, como operador de telecomunicaciones y de servicios esenciales, el logro de estas certificaciones está muy cercano y ligado al momento en que en España comienzan a promulgarse leyes que inician la construcción del marco regulatorio de la ciberseguridad. Construcción que va alineada con el cambio tecnológico en el ámbito de las tecnologías de la información y las comunicaciones (TIC), y que abre la era de la sociedad digital. Una nueva era de enormes progresos en las estructuras socioeconómicas y en las relaciones sociales. Pero también con relevantes nuevos riesgos a los que se ven sometidos los sistemas y las redes que sustentan esta emergente sociedad digital.
Además, estos riesgos son cambiantes, con amenazas más sofisticadas, tanto por el avance imparable de la tecnología -véase la irrupción de la quinta generación de tecnologías de la comunicación)-como por la complejidad del escenario geopolítico.
En todo este tiempo, junto al mencionado desarrollo legal, surgen estándares y esquemas internacionales de certificación de la ciberseguridad de acuerdo con normas ISO/IEC. Todas estas disposiciones establecen obligaciones y responsabilidades claras en materia de controles y medidas técnicas y organizativas de ciberseguridad -siendo en España la principal referencia legislativa, el ENS- conforme a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, vigilancia permanente y reevaluación periódica y mejora continua.
Por lo tanto, para Vodafone las certificaciones AENOR de ciberseguridad, además de afianzar la protección, calidad y la seguridad de nuestros servicios para mejorar y hacer crecer el negocio, permiten cumplir con dicha normativa. Y algo más importante aún, que es demostrarlo fehacientemente a nuestros clientes de la mejor manera: con su certificación.