Recordemos que la ISO 27002
es un código de prácticas para los controles de seguridad que nos propone la
propia norma ISO 27001. Al implantar el SGSI, debemos aplicar los controles
necesarios para tratar los riesgos evaluados en la organización, y ahí opera
este código para guiarnos en su implantación, gestión y comprobación de su
idoneidad. Hasta la fecha, la ISO 27002 estaba compuesta de un total de 114
controles, agrupados en los que denominamos dominios o áreas de actuación de
los controles (control de acceso, recursos humanos, desarrollo, etc.). Algunos
controles ha perdido mucho peso, como los controles sobre soportes (apena
usamos CDs o cintas, por mencionar algunos), y otros controles tienen una
estructura poco consistente con la realidad, como es el caso de los dedicados
al desarrollo de aplicaciones.
¿Y qué nos propone la nueva versión de la ISO 27002? Vamos a resumir los
principales cambios:
1.
El número total de controles se ha reducido a 94.
2.
Se han eliminado los dominios, tal como los conocemos en la versión
anterior. Ahora los controles se organizan en cuatro secciones: controles
organizativos, sobre las personas, físicos y tecnológicos.
3.
Los controles ahora disponen de atributos. ¿Para qué nos sirven?
Dependiendo de la perspectiva desde la cual necesitemos acudir a clasificar o
ver los controles, los atributos nos permiten filtrarlos. Así pues, cada
control tiene la siguientes características:
a. Tipo de control, que puede ser preventivo, detective o correctivo.
b. Propiedad de seguridad de la información a la que afecta:
confidencialidad, disponibilidad e integridad.
c. Concepto de ciberseguridad al que aplica: identificar, proteger,
detectar, responder o recuperar.
d. Capacidades operativas. Este atributo del control es el más extenso y
útil desde la perspectiva de quien aplica el control. Muy similar a los
dominios de la versión anterior, los controles se agrupan, entre otros, en
gobierno, seguridad física, control de vulnerabilidad y amenazas, recursos
humanos o gestión de activos.
e. Por último, se encuentra el atributo de dominios de seguridad, que se agrupan en cuatro: Gobierno y ecosistema, protección, defensa y resiliencia.
Si analizamos en detalle los nuevos controles, podemos observar que se adaptan mucho mejor a un entorno como es la ciberseguridad. Echábamos en falta un nuevo enfoque de los controles hacia un área concreta de la seguridad de la información que ha cobrado tanta relevancia, como es la ciberseguridad. Las empresas han emprendido un proceso de digitalización desde hace años, con mayor o menor velocidad, pero inevitable en cualquier caso. Esta digitalización no venía soportada por un elenco de medidas de seguridad más racional y con capacidad de adaptación a la empresa, sea cual sea su tamaño o complejidad. Asimismo, la capacidad para poder clasificar los controles en función de las diferentes necesidades (implantación de ciberseguridad, gobierno de la seguridad, implantación de controles o área donde se aplican), por fin permite darle más sentido a su aplicación.
Destacar que la norma deberá implantarse en todas las organizaciones que
tengan certificada la norma ISO 27001, en un plazo de dos a tres años. Nos vienen
años de trabajo, aplicando los nuevos controles, actualizando políticas y
procedimientos, revisando su cumplimiento y, sobre todo, aprendiendo a asegurar
la información de las empresas.
Los 10 nuevos controles de la ISO 27002:2022
La
edición recientemente publicada de ISO/IEC 27002:2022 es
la última actualización del catálogo principal de controles ISO 27002,
oficialmente, un “conjunto de controles de referencia sobre seguridad de
la información”.
Además de reestructurar y actualizar en general los controles de la segunda edición de 2013, el comité aprovechó la oportunidad para reforzar (por fin) la cobertura de la “Seguridad para la computación en la nube” con el nuevo control 5.23, además de otros diez controles nuevos, principalmente en la sección 8 (controles tecnológicos):
- Inteligencia
de amenazas (5.7): recopilar inteligencia relevante y procesable
sobre las amenazas a la información, alimentándola en el proceso de
gestión de riesgos de la información.
- Preparación
de las TIC para la continuidad del negocio (5.30): las
organizaciones deben prepararse para manejar incidentes graves que afecten
y/o involucren a las procesos críticos.
- Supervisión
de seguridad física (7.4): instalar alarmas contra intrusos,
circuito cerrado de televisión, guardias, etc. para locales comerciales.
Este es un control tan básico y común que no se puede creer que faltara en
edición anterior.
- Gestión de
la configuración (8.9): se refiere a la necesidad de gestionar la seguridad
y otros detalles de configuración para hardware, software, servicios y
redes.
- Eliminación
de información (8.10): este es otro control “obvio” que indica que
los datos deben eliminarse cuando ya no sean necesarios para evitar una
divulgación innecesaria y por razones de cumplimiento. Sin embargo, los
detalles finos sobre cómo se eliminan la información son importantes en la
práctica.
- Enmascaramiento
de datos (8.11):
de acuerdo con la política de control de acceso de la organización, además
de otros requisitos comerciales y obligaciones de cumplimiento, los
controles de seguridad son apropiados para mitigar el riesgo de revelar
información personal confidencial.
- Prevención
de fuga de datos (8.12): se requiere DLP para proteger la
información confidencial contra la divulgación y extracción no autorizada
de datos (robo, vigilancia, etc.).
- Actividades
de monitoreo (8.16): las “anomalías” en las redes, sistemas y
aplicaciones de TI deben detectarse y responderse para mitigar los riesgos
asociados.
- Filtrado
web (8.23):
limitar el acceso a sitios web inapropiado o riesgoso es, aparentemente,
un control de seguridad de la información lo suficientemente importante
como para justificar su inclusión en la tercera edición.
- Codificación
segura (8.28):
el software debe estar diseñado y programado de forma segura, reduciendo
el número y la gravedad de las vulnerabilidades explotables que surgen de
fallas de diseño y los errores de programación. Este control está casi
completamente dirigido al principio de ‘seguro por diseño’.
Este nuevo estándar revisado es bastante débil en cuanto a la seguridad en Internet de las Cosas (IoT), lo que no sorprende dado que este campo aún es inmaduro. Las cosas de la IoT proliferan tan rápidamente y la tecnología es tan limitada en términos de procesamiento, almacenamiento y otras capacidades, que los controles de seguridad de la información son problemáticos.
CONTROLES ISO 27002-2022