México es el segundo lugar en LATAM, después de Brasil, donde los ciberataques se han incrementado desde la pandemia hasta un 400%; ante este panorama, la actualización para la ISO /IEC 27001:2022, Sistema de Gestión de Seguridad de la Información (SGSI), el cual se lanzó hace unos días a nivel mundial.
De acuerdo con Mario Ureña, auditor líder de BSI y especialista en ciberseguridad, después de nueve años se da a conocer la nueva ISO que responde a los retos y escenarios actuales en la industria y los negocios.
La reconocida norma para la seguridad de la información, ciberseguridad y protección de la privacidad ISO /IEC 27001:2022 ha crecido ante estos retos y riesgos como la columna vertebral en la que se han apoyado muchas otras normativas para la gobernanza de TI y refleja la creciente digitalización de las organizaciones en todos los rubros.
Los nuevos riesgos han presionado para obtener mejoras en la ISO especializada en el rubro de la categorización y gestión de los controles de seguridad: “Esto permite que las mejores prácticas sean reconocidas en una amplia gama de servicios y procesos digitales en muchos sectores de la industria”, señaló el experto.
Así, la ISO renovada responde de forma más precisa contra las vulnerabilidades, considerando que la guía ISO 27002:2022 representa los controles de Seguridad de la Información, y que la actualización se integra a ésta para atender y responder a los nuevos escenarios. Es decir, su contenido es más completo y potente porque considera aspectos como la resiliencia, protección, gestión y defensa.
Las más recientes experiencias han sido el detonante para que las organizaciones efectúen cambios sensibles en sus enfoques de monitoreo de eventos de ciberseguridad, para mejorar la detección y la respuesta a éstos.
Para entender mejor cómo se comporta lo que conocemos como Amenazas Persistentes Avanzadas las empresas se han dado a la tarea de ponerse al día, motivando la implementación de mecanismos de inteligencia de última generación. Para Mario Ureña, los controles de riesgo en la nube se convierten en fundamentales ante el incremento de los ataques, “en el uso de estas plataformas y los servicios que proporciona”.
Protección de datos personales. Desde 2013 ha habido cambios y la publicación de documentos importantes para la protección de datos personales, que también se alinean a leyes y regulaciones que están surgiendo en otros países. Considerando a la información y la tecnología general como un activo crítico para tener continuidad de negocio, ahora se asocian las normas a controles más específicos que inclusive tienen un desarrollo propio, como es el caso de la ISO 27031, cuya misión es la protección y recuperación de la tecnología en beneficio de la Continuidad de Negocio.
Un sistema de gestión preparado para la integración. Como cada ISO, la nueva 27001 cuenta con una estructura de Alto Nivel, en la que destaca una nueva cláusula que formaliza la necesidad de tener actividades particularmente orientadas a gestionar los cambios. Esto permite que la actualización sea más útil porque incluye atributos que permiten identificar los controles, alineándolos a otros marcos de referencia y definiendo etapas muy concretas: Identificar, Proteger, Detectar, Recuperar y Responder a los riesgos.
Dichos atributos permiten establecer una estrategia basada en los objetivos de la organización, ya más específicos en el ámbito de seguridad.
La norma anterior estaba conformada con 114 controles de seguridad y con la actualización ahora sólo se incluyen 93, debido a que algunos ya no respondían a las necesidades de hoy; sin embargo, se privilegió, por ejemplo, el teletrabajo: “Por la pandemia, se dio un giro completo a este tipo de controles, porque ahora la mayoría de las organizaciones hacen uso del trabajo remoto y de la criptografía”, explicó el especialista.
Se advierten pérdidas millonarias. Las organizaciones que no se actualicen en 27001:2022 podrían sufrir sensibles costos económicos reflejados en pérdidas de ventas, productividad, reputación o clientes, en especial en industria de salud o automotriz, donde las pérdidas podrían ser millonarias.
Impacto reputacional. Las empresas que son atacadas suelen convertirse en objetivos de crítica en redes sociales y medios de comunicación, cuestionando su fiabilidad y subrayando su responsabilidad en la protección de los datos.
Pérdida de control operativo. Esto puede generar conflictos con clientes o proveedores, al no tener la certeza de asegurar el manejo de las transacciones. Ese es un riesgo que no se percibe tan claramente como los otros, señala el experto.
Incumplimiento legal y regulatorio: Casi todos los países ya cuentan con regulaciones en estos temas. Hay delitos informáticos que están tipificados y hay leyes de protección de datos personales, por lo que las empresas que no implementen los suficientes controles corren el riesgo de caer en incumplimientos de carácter legal y regulatorio.
Los beneficios inmediatos de la actualización, entre otros:
– Reducir incidentes de seguridad de la información y sus costos asociados
– Mejorar la reputación de la organización demostrando su compromiso y diligencia
– Conseguir más negocios, sobre todo en procesos de licitación públicos y privados
– Soporte para el cumplimiento legal y regulatorio
– Disminuir posibles multas y/o sanciones relacionadas con eventos de seguridad
– Proteger sus activos más importantes y los datos personales de sus colaboradores, clientes y socios de negocio.