En un mercado como el actual, las organizaciones buscan demostrar confianza a sus clientes y compromiso con la seguridad de la información que manejan. Para ello, el hecho de poseer una certificación de algún estándar o norma ISO referente a Seguridad supone una ventaja competitiva, ya que es consecuencia de una correcta gestión de los requisitos de seguridad en los procesos de tratamiento de la información.
La ciberseguridad y las normas ISO
La ciberseguridad es algo que está muy en auge hoy en día, pero ¿a qué se debe?. La creciente cantidad de incidentes y ataques de seguridad relacionados con la información y sistemas informáticos que sufren las organizaciones actualmente hace que la necesidad de tener controles para garantizar la seguridad de dispositivos, redes de comunicación y activos de información sea indiscutible. Es de esta necesidad de donde nace el concepto de ciberseguridad.
Este tipo de ataques tienen por objetivo acceder, modificar o destruir información sensible de las compañías.
La implementación de medidas eficaces de ciberseguridad no es algo sencillo ya que, debido a la gran cantidad de equipos y tecnologías utilizadas, los ciberdelincuentes siempre encuentran nuevas opciones de llevar a cabo sus ataques. Sin embargo, existe una forma de implementar medidas de protección de datos e información que hace que el procedimiento de implantación de dichas medidas de seguridad informática sea algo más pautado y natural.
Se trata de los estándares y normas ISO relacionadas con la ciberseguridad y seguridad de la información. Las normas ISO son estándares desarrollados y publicados por la Organización Internacional de Normalización (ISO). Tanto ISO como IEC (la Comisión Electrotécnica Internacional) son la referencia especializada para la normalización a nivel mundial. A través de comités técnicos formados por los organismos miembros tanto de ISO como de IEC, se elaboran normas internacionales redactadas con el objetivo de regularizar procesos específicos sobre ámbitos tales como la seguridad de la Información.
Estas normas constituyen, hoy en día, un elemento indispensable en el sistema de cumplimiento de las organizaciones, otorgando prestigio y reconocimiento internacional a las mismas. El valor diferencial que aportan las implantaciones de las normas ISO a las organizaciones frente a sus competidores se debe a que dichos estándares certificados son revisados y auditados periódicamente para garantizar su cumplimiento, haciendo que la apreciación por parte de partes interesadas tales como clientes o accionistas mejore considerablemente.
Las normas ISO se numeran de forma incremental en función de su propósito y se dividen en familias para agrupar aquellas que traten aspectos de la misma índole. El objetivo de estos estándares y normas es identificar técnicas, políticas, guías, capacitación, etc. en referencia a su propósito (seguridad, continuidad, calidad, entre otros).
Familia ISO 27000
Entre las ya mencionadas normas ISO, destaca la familia ISO 27000. Ésta es una serie compuesta por varias normas de seguridad de la información que detallan las pautas y requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) con el objetivo de gestionar la seguridad de la información de las organizaciones.
Dentro de este conjunto de normas, la principal es la ISO 27001, la referencia certificable de toda la serie. Esta norma proporciona requisitos para el establecimiento, implantación, mantenimiento y mejora continua de un SGSI. El proceso de mejora continua se basa en el conocido Ciclo Deming o PDCA (de las siglas de las palabras en inglés Plan-Do-Check-Act) que consta de las 4 fases de Planificar, Hacer, Verificar y Actuar.
Las demás normas de la familia sirven de guía y ayuda para la implantación del SGSI. Otra norma bastante reseñable es, por ejemplo, la ISO 27002. Se trata de una guía de buenas prácticas que describe los objetivos de control y controles exigibles en lo referente a la seguridad de la información.
De la misma familia y con un propósito más específico es la ISO 27031. Este es un estándar no certificable que sirve de guía y proporciona un conjunto de métodos y procedimientos para establecer aspectos que conlleven una mejora en la preparación de las TIC de una organización para garantizar y consolidar la continuidad de negocio. Es decir, el objetivo principal de este estándar es proporcionar la continuidad de los servicios y asegurar que la organización podrá recuperarse ante una situación de desastre reestableciendo un estado de funcionamiento acordado anteriormente.
Similar al caso anterior, podemos hablar de la norma ISO 27701, también de la familia ISO 27000. En ella se establecen requisitos para administrar, gestionar y proteger la privacidad de los datos personales de la compañía en función de reglamentos y leyes tales como el RGPD (Reglamento General de Protección de Datos). Basada en los requisitos, controles y objetivos de la norma ISO 27001 de seguridad, incluye indicaciones para proteger la privacidad y confidencialidad de los datos de carácter personal tratados en una compañía. Cabe destacar que la certificación de esta nueva norma es alcanzable solamente de forma conjunta a la certificación de la ISO 27001.
Otras normas y estándares
Además de las normas ISO comentadas anteriormente, existen otros muchos estándares relacionados con el mundo de la ciberseguridad.
Un ejemplo claro de ello son los estándares del NIST, el Instituto Nacional de Estándares y Tecnologías, una agencia de Administración de Tecnología del Departamento de Comercio de los Estados Unidos. Entre los estándares que desarrolla, destaca, por ejemplo, la SP 800-53. La SP 800-53 ofrece una lista de controles que apoyan el desarrollo de sistemas de información federal seguros y resilientes. Estos controles son guías y estándares tanto operacionales como técnicos utilizados por los sistemas de información para mantener la seguridad de dicha información.
Por otro lado, están los llamados Controles de Servicio y Organización 2 (SOC 2). Este se trata de un estándar internacional de informes sobre los sistemas de gestión de los riesgos de ciberseguridad de las organizaciones realizado por el Instituto Americano de Contables Públicos Certificados (AICPA). Estos informes se desarrollan sobre los controles que una organización implementa en sus sistemas y que tienen que ver con la seguridad.
Dentro del informe SOC 2 se pueden diferenciar 2 tipos. El SOC tipo 1 consiste en una evaluación puntual. Es decir, se realiza una evaluación en un momento concreto con el objetivo de determinar si los controles implantados por la organización han sido debidamente diseñados y son apropiados teniendo en cuenta los requisitos que deben cumplir.
En cuanto al SOC 2 tipo 2, comprende una evaluación más duradera, que generalmente abarca alrededor de un año. En este tipo de informes, los controles de la organización son evaluados durante el periodo de tiempo acordado para determinar si han sido diseñados correctamente y funcionan de manera adecuada durante todo el periodo de evaluación.
En el panorama nacional, existen guías, normas e instrucciones de seguridad desarrolladas por el CCN (Centro Criptológico Nacional) que buscan proteger la seguridad de las organizaciones y aumentar su grado de ciberseguridad. Las series desarrolladas están principalmente enfocadas a las Administraciones Públicas.
Cabe destacar en este artículo la serie 800. Esta serie está relacionada con el Esquema Nacional de Seguridad (ENS), ya que proporciona procedimientos para la correcta implementación de las medidas y requisitos que allí se recogen.
Por otro lado, es reseñable comentar la existencia tanto del modelo COSO como del estándar COBIT. COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es una organización compuesta por organismos privados, establecida en los EEUU, que se dedica a proporcionar un modelo común de orientación a las entidades sobre aspectos fundamentales de gestión ejecutiva y de gobierno, ética empresarial, control interno, gestión del riesgo empresarial, control de fraude y prestación de informes financieros. En cuanto al estándar COBIT (Control Objectives for Information and related Technology), este se trata de un conjunto de buenas prácticas para la gestión de los sistemas de información de las compañías.
En GlobalSuite Solutions ofrecemos ayuda y asesoramiento a todo tipo de organizaciones y sectores en la implementación de los Sistemas de Gestión requeridos por estas normas. Asimismo, contamos con el software GlobalSUITE® que, desarrollada por nuestro equipo, es una herramienta que permite la implantación, gestión y mantenimiento de los requisitos exigidos por las diferentes normas ISO.