El avance de las tecnologías y los riesgos que se ciernen sobre estas, cuyo nivel de agresividad es cada vez más alto, requiere de un enfrentamiento de vulnerabilidades con el conocimiento y las herramientas desde la ciencia para establecer un mecanismo de trabajo que permita su erradicación y una evaluación continua que evite su reproducción.
Recientemente han aparecido en la red, informaciones sobre vulnerabilidades en productos de alta tecnología promovidos para la gestión de infraestructuras críticas desde las bondades de la transformación digital.
Esta noticia mostró la necesidad de mantener bajo observación permanente la tecnología con la que se operan los procesos en las entidades.
Pero el hecho de conocer las vulnerabilidades y amenazas no es tan sencillo, ni se despeja el camino sin conocer el herramental con que se cuenta para ello.
El estudio de estos fenómenos se realiza atendiendo a los factores externos que inciden como son las nuevas tendencias de operación de las organizaciones, la situación internacional signada por conflictos geopolíticos, el crecimiento de la inflación a escala mundial a partir de los efectos de la pandemia, entre otros; para ello se requieren estudios que desde la ciencia, brinden soluciones a la ciberseguridad.
Los estándares internacionales, en especial las normas de la Organización Mundial de Estandarización conocidas por la sigla ISO que proviene del nombre en inglés International Standarization Organization, proveen de pautas para encaminar los trabajos de búsqueda de vulnerabilidades.
En este sentido la salida en 2022 de una nueva versión de las normas ISO/IEC 27001 impone la necesidad de escudriñar en las intimidades del sistema informático desde la nueva óptica.
Sin perder de vista el hecho, de que cualquier cambio en las condiciones que dieron origen a las directrices trazadas para proteger el sistema, se constituyen en un imperativo para revisar y cambiar todo lo necesario para que prevalezca la seguridad de las TIC.
Las normas ISO 27001 se han perfeccionado a través del tiempo. En 2005 se sustentaba en 11 dominios, 37 objetivos de control y 133 controles. En 2013 los dominios planteados fueron 14, se reducen a 35 los objetivos de control y a 113 los controles.
La versión de 2022 cambia su presentación, aunque mantiene su filosofía de establecer los objetivos a cumplir por una organización para obtener la certificación.
Además esta nueva versión plantea dos nuevos pilares: los temas y los atributos. Los temas se constituyen en la nueva forma de categorizar los controles de seguridad y de cierta manera sustituyen a los dominios plasmados en las ediciones anteriores.
Los atributos por su parte se refieren a la la clasificación sustentada en nuevos enfoques que hagan posible el filtrado, ordenamiento o presentación de los controles en correspondencia con la audiencia a la que está dirigida.
La versión de 2022 de la ISO 27001 plantea 4 temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales.
En el apartado de los atributos estos pueden ser vistos desde la óptica del tipo de control, de las propiedades de la seguridad de la información, de los conceptos de ciberseguridad, las capacidades operativas y los dominios de seguridad.
Por el tipo de control, se establece que deben partir perspectivas: la prevención, la detección y la corrección.
Desde la visión de las propiedades de la seguridad de la información el análisis se sustenta en los pilares de esta: confidencialidad, integridad y disponibilidad.
Desde la concepción de la ciberseguridad el proceso sigue la lógica de esta ciencia y por ello se debe valorar desde la identificación, protección, detección, respuesta y recuperación.
Según la óptica de la capacidad operativa el proceso se sustenta en la perspectiva de la seguridad desde la capacidad de profesionales o de los participantes, para ser parte de aspectos como la gobernanza o la seguridad física.
Y desde la mirada de los dominios de la seguridad donde son esenciales aspectos como la gobernanza y ecosistema, la protección, la defensa y la resiliencia, término este último, que ha venido ganando terreno por su importancia.
El cambio en la norma ISO 27001 reduce a 93 los controles de seguridad, donde 8 tienen que ver con el personal, 14 con la seguridad física, 34 con la tecnología y 37 con factores organizacionales. A esto se suma que los controles en esta nueva versión no fijan el resultado esperado, pues quedan abiertos a un trabajo de perfeccionamiento sin limitaciones.
De manera muy especial destacan, 11 controles de seguridad en función de las necesidades de protección para las nuevas tendencias y enfoques de la ciberseguridad donde destacan la inteligencia de amenazas, la seguridad de los servicios en la nube, la preparación para el manejo de las TIC en torno a la continuidad de los procesos sustantivos de la organización, la eliminación de la información de manera segura, enmascaramiento de datos, prevención de la fuga de información y datos, monitoreo, filtrado de la web y la codificación segura, entre otros.
Al cambiar la visión de la norma 27001, se genera la necesidad de modificar la 27002, que si bien mantiene como línea para la acción el establecimiento de los controles necesarios para el cumplimiento de los objetivos ha adoptado un nuevo título: “Information security, cibersecurity and privacy protección – Information security controls”.
La fusión de algunos controles, la eliminación de otros y la aparición de algunos nuevos es el resultado de las modificaciones que sufre la norma 27001 de 2022 en su anexo A.
En este proceso se pudiera hablar de un “efecto dominó” porque el cambio en la ISO 27001 impacta en la 27002 donde se exponen los objetivos a controlar, pero también lo hará en la 27005 que fija las pautas para el análisis de riesgos con independencia del método que se utilice u la 27007 que contiene una guía para auditar los sistemas de gestión de la seguridad de la información, por solo mencionar las más significativas.
Como se aprecia los cambios en las normas ISO de la serie 27000 generan una revolución en las maneras de ver y trabajar la ciberseguridad. Si bien se mantiene el trabajo desde posiciones proactivas, al plantear las cosas desde la visión de temas más amplios y no de objetivos delimitados obligará a directivos, especialistas y usuarios de las TIC en general a tomar en consideración muchos más elementos en el manejo de la seguridad de la información.
Está permitida la reproducción de la información, siempre que se mencione la fuente de procedencia: Blog de Ciberseguridad de la Universidad de Oriente.