¿Sequía? Llueven normas y revisiones de la familia ISO 27XXX
Este año 2022 está siendo altamente productivo en cuanto a la publicación de normas y estándares relacionados con el amplio concepto de “seguridad de la información. En este artículo el protagonismo es para la norma certificable ISO/IEC 27001:2022 y el conjunto de normas asociadas y/o complementarias, principalmente las que considero “nucleares”, ISO/IEC 27002:2022 e ISO/IEC 27005:2022, así como el nacimiento de nuevas normas en la familia, muy especialmente dedicadas a la privacidad.
¿Qué aportan estas normas?
Estas normas no aportan en sí mismas medidas organizativas y técnicas novedosas. Una primera lectura de su contenido, sobre todo en el caso de los controles de ISO/IEC 27002, suele llevar a reflexiones del tipo “eso ya lo hago yo”. Otras personas expresan una cierta decepción al ver el escaso nivel de detalle de la guía de implementación de los controles (sobre todo cuando ven los 200€ que han pagado por ella) pero, siendo comprensibles estos planteamientos, su valor viene por otras vías.
En mi opinión, el mayor valor añadido de estas normas es la aportación de “sentido común escrito y estructurado”, así como la implicación de los estamentos directivos de la organización en el SGSI (incluyendo el compromiso de dotación de los recursos necesarios en todo su ciclo de vida), el enfoque basado en riesgos, la disponibilidad del conocimiento como documentos de la organización, las mediciones de la eficacia y eficiencia del SGSI y el paradigma de mejora continua del sistema.
Somos una familia
El alcance del término “sistema de gestión de la seguridad de la información” no tiene cabida en estas dos normas, lo que ha llevado al desarrollo de normas complementarias,. específicas y temáticas, que aportan conocimiento y criterio en su objeto particular. A la fecha de redacción del presente artículo existen 69 normas en la “foto de familia” de ISO 27XXX (se esperan nuevos nacimientos en el corto plazo) destacando el número de normas dedicadas específicamente a la privacidad, aportando criterios sustanciales al cumplimiento normativo relacionado no solo con el RGPD sino con otras regulaciones internacionales en la materia.
La familia ISO/IEC 27XXX tiene conexiones estrechas con otras familias, y quiero destacar por su importancia sus primas hermanas ISO 223XX, dedicadas al concepto de “Continuidad de negocio”.
Esta prolífica estructura familiar nos obliga a implementar el paradigma de las “tres A” (ADOPTAR, ADAPTAR, APLICAR) desde una visión holística presidida por una adecuada estructura de gobernanza de la seguridad de la información.
Pasando la ITV
Las normas “vehiculares” de la familia son ISO/IEC 27001 e ISO/IEC 27002 y, dado el enfoque basado en riesgos de la familia, también está en el “top” la norma ISO/IEC 27005 – Guía de gestión de riesgos de la seguridad de la información. Prescindo del sufijo “:2022” en adelante ya que siempre será la edición de 2022 la referenciada.
Cambios en ISO/IEC 27001
Cambia el nombre: Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
Los otros cambios en ISO/IEC 27001 no son de gran entidad, centrados principalmente en la cláusula 6 (Planning), con un mayor énfasis en la identificación, análisis y tratamiento de riesgos, en la cláusula 8 (Operation) también con un mayor detalle en la evaluación y tratamiento de riesgos, así como en la gestión de cambios y la gestión documental. El Anexo A queda sincronizado con el nuevo conjunto de controles de ISO/IEC 27002.
Cambios en ISO/IEC 27002
Cambia el nombre: Information security, cybersecurity and privacy protection — Information security controls.
Esta es la norma que incluye el mayor número de novedades, ya que cada uno de sus 93 controles (reducción desde los 114 de la edición de 2013) ha sido actualizado en cuanto a su contenido y, adicionalmente, queda encuadrado en uno de los cuatro bloques temáticos (temas) de la norma y tiene asignados unos valores de una taxonomía definida para los denominados “atributos”.
Los bloques temáticos son: Personas (controles relacionados con personas) – Físicos (controles relacionados con objetos o infraestructuras físicas) – Tecnológicos (controles relacionados con tecnología) – Organizacionales (controles no encuadrados en los tres temas anteriores).
Los atributos y sus valores son: Tipo de control (preventivo, detectivo, correctivo) – Propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad) – Conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar) – Capacidades operativas (equivalentes a los “objetivos de control” de las ediciones anteriores, p.e. seguridad de los recursos humanos, seguridad física, etc.) – Dominios de seguridad Visión de los controles desde cuatro dominios de seguridad (Gobernanza y ecosistema, Protección, Defensa y Resiliencia) teniendo cada uno de los cuatro subdominios que, por motivos de espacio, no se detallan aquí.
Estos atributos, así como los controles, no son obligatorios. Cada organización puede seleccionar éstos u otros controles y especificarlos en la Declaración de Aplicabilidad, así como adaptar la taxonomía de los atributos y sus valores según su criterio, documentando adecuadamente la taxonomía definitiva.
Esta nueva estructura proporciona, en mi opinión, una visión mucho más clara y flexible de los controles de la norma, permitiendo utilizar los valores de los atributos para agrupar controles y analizarlos desde diferentes perspectivas.
Cambios en ISO/IEC 27005
Cambia el nombre: Information security, cybersecurity and privacy protection — Guidance on managing information security risks.
En el caso de ISO/IEC 27005, los cambios incluyen un alineamiento de sus cláusulas con ISO/IEC 27001, alineamiento de la terminología con su “hermana mayor” (ISO 31000:2018) y, como cambios más relevantes, desarrolla el concepto de “escenario de riesgo” y se comparan de forma clara y muy útil el enfoque basado en activos y el basado en eventos en la fase de identificación de riesgos.
Conclusiones
La familia ISO/IEC 27XXX crece y se renueva, si bien la renovación de los controles en ISO/IEC 27002 debería realizarse con mayor frecuencia para adaptarse a la evolución de las amenazas y sus riesgos asociados, así como desligarse del Anexo A de ISO/IEC 27001 para evitar renovaciones de ésta última cuyos cambios incidan únicamente en los que haya sufrido ISO/IEC 27002.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.