Nuevas actualizaciones de las referencias en ciberseguridad

Son tiempos de transformación digital, donde los presupuestos de 2023 en TI se han ajustado ante la coyuntura económica actual. Sin embargo, la ciberseguridad se identifica como una prioridad en la estrategia empresarial que está presente en las agendas de los directivos.

Los analistas de IDC Research, han estimado que en 2023 el mercado de la ciberseguridad retoma la senda del crecimiento a un ritmo del 7,7 % para hacer frente al incremento exponencial de los ciberataques a las organizaciones públicas y privadas.

El recién publicado informe anual de riesgos del World Economic Forum advierte de una “policrisis”, donde los ciberataques y el cibercrimen se sitúan como uno de los diez riesgos que hay que considerar. Concretamente:

Las tensiones geopolíticas han incrementado los ataques de malware y ransomware, a los entornos corporativos, infraestructuras críticas y la cadena de suministro, que amenazan con publicar datos o bloquearlos permanentemente a menos que las víctimas paguen un rescate.

También los ataques Living Off the Land (LOtL), en los que los atacantes utilizan software y funciones legítimas de los sistemas informáticos corporativos para pasando desapercibidos en las funciones técnico-operativas rutinarias ante los responsables y administradores de los sistemas.

Por lo tanto, hay que garantizar la ciberseguridad de los sistemas y la privacidad de los datos, para que la transformación digital en las organizaciones públicas y privadas sea una realidad. En este escenario, la certificación ISO/IEC 27001 se convierte en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad.

El pasado mes de octubre, la Organización Internacional de Normalización (ISO) publicó la nueva versión del estándar ISO/IEC 27001 para adaptarse aún mejor al escenario actual, donde la ciberseguridad se ha convertido en una prioridad estratégica para generar confianza en la sociedad digital.

Y es que, algunas de las siguientes cuestiones son habituales en el día a día de los comités de dirección de las organizaciones:

• ¿Se conocen y gestionan los ciberriesgos y las ciberamenazas que puedan afectar a su organización?

• ¿Se es capaz de detectar y gestionar un incidente de seguridad o privacidad de datos, informando de forma adecuada a stakeholders y supervisores valorando el impacto reputacional y económico en su organización?

• ¿Se sabe si los datos o sistemas de información corporativos han sido comprometidos en los últimos seis meses?

Por ejemplo, los fondos de recuperación europeos y nacionales consideran la digitalización y la ciberseguridad prioritarias en sus estrategias de ayuda. Es la transformación digital uno de los ejes principales muy presente en los fondos Next Generation EU, el instrumento con el que se apoya la recuperación económica tras la crisis provocada por el COVID-19.

Como respuesta a todo lo anterior, ISO a través de su comité técnico internacional ISO/IEC JTC 1/SC 27, tomó cartas en el asunto y en febrero de 2022 publicó la actualización de uno de sus estándares técnicos más reconocidos y utilizados: la ISO/IEC 27002 Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de Seguridad de la Información. (Ver figura 1).

También en el ámbito nacional, los responsables del Esquema Nacional de Seguridad agilizaron la actualización del RD 3/2010, viendo la luz el nuevo RD 311/2022 el 4 de mayo de 2022.

Por último, el 25 de octubre 2022 se publicó la nueva versión del estándar de referencia ISO/IEC 27001 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información – Requisitos.

Con más de 15 años de historia, la nueva versión de la Norma ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información (SGSI) ha mantenido prácticamente intactos sus requisitos y su índice sigue alineado a la estructura de alto nivel de las normas de sistemas de gestión de ISO (apartados del 4 al 10).

Hay que destacar en esta nueva ISO/IEC 27001 los aspectos relacionados con la redacción y un nuevo apartado:

• Apartado 4.4, se sustituye norma internacional por documento, y hace mención a “incluir procesos necesarios y sus interacciones”.
• Apartado 5.3, donde de forma explícita menciona que la comunicación en la organización sea interna.
• Apartado 6.1.3, donde se referencia al Anexo A de controles.
• Apartado 6.2, donde se explicita que los objetivos de seguridad se supervisan y documentan.
• Nuevo Apartado 6.3 – Planificación de los cambios. Se incorpora con el fin de planificar los cambios del SGSI en general, donde se puede considerar, la propia adaptación del sistema de gestión de la versión de 2017 a la actual.

No obstante, su Anexo A, conforme a la nueva Norma ISO/IEC 27002 es el que ha actualizado buena parte de su estructura y contenido. Así, se agrupa en cuatro temas:

1. Controles organizacionales
2. Controles de personas
3. Controles físicos
4. Controles tecnológicos

Cada tema mantiene controles de la anterior versión, pero también incluye nuevos controles e integra otros. Esta nueva versión pasa de 114 a 93 controles (ver tabla 1).

Las organizaciones que cuenten con un sistema de gestión de seguridad de la información certificado de acuerdo con la Norma ISO/IEC 27001 deberán adaptarse a la nueva versión del estándar antes del 31 de octubre de 2025.

Fuente: aenor-TIC – Mayo 2022

Por su parte, el nuevo RD 311/2022 – Esquema Nacional de Seguridad (ENS) actualiza al anterior RD 3/2010 – ENS y a su posterior modificación RD 951/2015.

En este marco, AENOR se convirtió en la primera entidad que ya cuenta con la acreditación de la Entidad Nacional de Acreditación (ENAC) para certificar de acuerdo con este esquema.

La versión vigente de ENS establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos (7), requisitos mínimos (15), medidas de seguridad y mecanismos de conformidad y monitorización para la Administración Pública, así como para los proveedores tecnológicos del sector privado que colaboran con la Administración.

Entre las novedades del nuevo ENS se encuentran:

• Evolución de los principios básicos: prevención, detección, respuesta y conservación, incluyendo el principio de vigilancia continua.
• Modificación de la terminología: de la seguridad por defecto a Mínimo privilegio.
• Actualización de los controles/medidas de seguridad. Muchas de ellas se mantienen, otras han incrementado su exigencia, y otras se han simplificado o eliminado. En definitiva, de 75 medidas se actualizan a 73.
  
  
  • Marco Organizativo (se mantienen 4)
  • Marco Operacional (de 31 a 33). Hay que destacar la incorporación de controles en entornos cloud (nube).
  • Marco de Protección (de 40 a 36)
    
    
• Incorporación del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al Esquema más eficaz y eficiente.
• Establecimiento de un protocolo de actuación ante ciberincidentes, donde se establecen las condiciones de notificación al CCN-CERT.

Las empresas que cuenten con un certificado de Esquema Nacional de Seguridad (ENS) tendrán hasta el 5 de mayo de 2024 para adaptarse a la nueva versión RD 311/2022.

Esta plataforma se apoya en el modelo de ciberseguridad y privacidad de AENOR basado en estándares internacionales ISO, tomando como pilares fundamentales la Norma ISO/IEC 27001 e ISO/IEC 27002 junto con el estado del arte de las actuales (y futuras) ISO, leyes y reglamentaciones españolas y europeas en materia de Ciberseguridad.

 Es el caso del nuevo Esquema Nacional de Seguridad, el actual Reglamento General de Protección de Datos Personales, el RD 7/2022 sobre Seguridad 5G, la recién publicada Directiva NIS2, la regulación DORA, o Cybersecurity/Cyberesiliency Act, etc.

Es decir, propone un modelo eficaz, eficiente y dinámico (vigente en todo momento) basado en las mejores prácticas, los estándares ISO que han sido consensuados por 155 países, y que dotan de una mayor visión y capacidad de reacción a la ciberseguridad. Ver figura 2.

Actualmente, más de 1.000 organizaciones nacionales e internacionales cuentan con certificados AENOR en ISO/IEC 27001 o Esquema Nacional de Seguridad, lo que convierte a AENOR en la entidad líder en soluciones de ciberseguridad.

Por último, no debemos olvidar que los estándares de ciberseguridad deben aportar soluciones a las organizaciones que las implantan y certifican, así como considerar los desafíos que ya están sobre la mesa: blockchain, BigData, Edge-computing, Data Mesh, etc. y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos que ya toman decisiones en la actual sociedad digital.

El Esquema Nacional de Seguridad (ENS), un hito en la ciberseguridad en España y un referente para otros países, es el resultado de un esfuerzo colectivo de las Administraciones Públicas de España, con la colaboración del sector privado, que vienen contribuyendo de forma conjunta a su elaboración, desarrollo, aplicación y evolución, bajo el liderazgo conjunto de la Secretaría General de Administración Digital y del Centro Criptológico Nacional.

La actualización del ENS, mediante el Real Decreto 311/2022, ha perseguido, fundamentalmente, adaptarlo al incremento de las ciberamenazas, tanto cuantitativa como cualitativamente, para ofrecer una mejor respuesta a las tendencias y necesidades de ciberseguridad, propiciando la resiliencia de los sistemas, así como un tratamiento más seguro de la información y los servicios públicos.

Como resultado de la revisión pormenorizada de los principios básicos, los requisitos mínimos y las medidas de seguridad del ENS cabe destacar las siguientes novedades:

• Se introduce el principio de vigilancia continua.
• Se refuerza la importancia de la política de seguridad y se clarifican los roles relacionados con la seguridad.
• Se refuerza el requisito mínimo de mínimo privilegio y se introducen mejoras en otros requisitos
• Se incluyen nuevas medidas de seguridad relativas a protección de los servicios en la nube, protección de la cadena de suministro, interconexión de sistemas, medios alternativos, vigilancia y otros dispositivos conectados a la red
• Se ordena la respuesta ante incidentes de ciberseguridad y el papel de los principales actores implicados.

Un aspecto especialmente novedoso es la introducción de la figura de los perfiles de cumplimiento específicos que aportan la capacidad de adaptar los requisitos del ENS a determinados colectivos o ámbitos tecnológicos. Estos perfiles han sido ya puestos en práctica, con resultados muy satisfactorios, obteniéndose una clara mejora en la seguridad en los sujetos clave. Un ejemplo particularmente ilustrativo es el perfil de cumplimiento específico para Organismos Pagadores que, bajo el principio de proporcionalidad, y tras el preceptivo análisis de riesgos, persigue especificar el conjunto de medidas necesarias para que dichos organismos puedan cumplir con el ENS y con las Normas ISO/IEC 27001 e ISO/IEC 27002 gracias a la sinergia entre ambos instrumentos.

Finalmente, quienes tienen que aplicar el ENS o se interesen por él se encuentran con un instrumento alineado con el marco legal, el contexto estratégico y las tendencias de ciberseguridad existentes, y que presenta mayor claridad en su ámbito de aplicación, en sus preceptos y en sus medidas de seguridad, pues se han codificado sus requisitos, así como los refuerzos que indican una mayor exigencia.

Ya existen diferentes entidades de certificación acreditadas por ENAC para auditar y certificar de conformidad este Real Decreto 311/2022 – ENS. AENOR fue la primera en conseguir esta acreditación.