![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2018\/05\/systems_iso-300x248.jpg\")
<\/p>\n<\/p>\n
El avance de las tecnolog\u00edas y los riesgos que se ciernen sobre estas, cuyo nivel de agresividad es cada vez m\u00e1s alto, requiere de un enfrentamiento de vulnerabilidades con el conocimiento y las herramientas desde la ciencia para establecer un mecanismo de trabajo que permita su erradicaci\u00f3n y una evaluaci\u00f3n continua que evite su reproducci\u00f3n.<\/p>\n
<\/p>\n
Recientemente han aparecido en la red, informaciones sobre vulnerabilidades en productos de alta tecnolog\u00eda promovidos para la gesti\u00f3n de infraestructuras cr\u00edticas desde las bondades de la transformaci\u00f3n digital.<\/p>\n
Esta noticia mostr\u00f3 la necesidad de mantener bajo observaci\u00f3n permanente la tecnolog\u00eda con la que se operan los procesos en las entidades.<\/p>\n
Pero el hecho de conocer las vulnerabilidades y amenazas no es tan sencillo, ni se despeja el camino sin conocer el herramental con que se cuenta para ello.<\/p>\n
El estudio de estos fen\u00f3menos se realiza atendiendo a los factores externos que inciden como son las nuevas tendencias de operaci\u00f3n de las organizaciones, la situaci\u00f3n internacional signada por conflictos geopol\u00edticos, el crecimiento de la inflaci\u00f3n a escala mundial a partir de los efectos de la pandemia, entre otros; para ello se requieren estudios que desde la ciencia, brinden soluciones a la ciberseguridad.<\/p>\n
Los est\u00e1ndares internacionales, en especial las normas de la Organizaci\u00f3n Mundial de Estandarizaci\u00f3n conocidas por la sigla ISO que proviene del nombre en ingl\u00e9s International Standarization Organization, proveen de pautas para encaminar los trabajos de b\u00fasqueda de vulnerabilidades.<\/p>\n
En este sentido la salida en 2022 de una nueva versi\u00f3n de las normas ISO\/IEC 27001 impone la necesidad de escudri\u00f1ar en las intimidades del sistema inform\u00e1tico desde la nueva \u00f3ptica.<\/p>\n
Sin perder de vista el hecho, de que cualquier cambio en las condiciones que dieron origen a las directrices trazadas para proteger el sistema, se constituyen en un imperativo para revisar y cambiar todo lo necesario para que prevalezca la seguridad de las TIC.<\/p>\n
Las normas ISO 27001 se han perfeccionado a trav\u00e9s del tiempo. En 2005 se sustentaba en 11 dominios, 37 objetivos de control y 133 controles. En 2013 los dominios planteados fueron 14, se reducen a 35 los objetivos de control y a 113 los controles.<\/p>\n
La versi\u00f3n de 2022 cambia su presentaci\u00f3n, aunque mantiene su filosof\u00eda de establecer los objetivos a cumplir por una organizaci\u00f3n para obtener la certificaci\u00f3n.<\/p>\n
Adem\u00e1s esta nueva versi\u00f3n plantea dos nuevos pilares: los temas y los atributos. Los temas se constituyen en la nueva forma de categorizar los controles de seguridad y de cierta manera sustituyen a los dominios plasmados en las ediciones anteriores.<\/p>\n
Los atributos por su parte se refieren a la la clasificaci\u00f3n sustentada en nuevos enfoques que hagan posible el filtrado, ordenamiento o presentaci\u00f3n de los controles en correspondencia con la audiencia a la que est\u00e1 dirigida.<\/p>\n
La versi\u00f3n de 2022 de la ISO 27001 plantea 4 temas o formas de clasificaci\u00f3n: controles para personas, f\u00edsicos, tecnol\u00f3gicos y organizacionales<\/strong>.<\/p>\n En el apartado de los atributos estos pueden ser vistos desde la \u00f3ptica del tipo de control<\/strong>, de las propiedades de la seguridad de la informaci\u00f3n<\/strong>, de los conceptos de ciberseguridad<\/strong>, las capacidades operativas<\/strong> y los dominios de seguridad<\/strong>.<\/p>\n Por el tipo de control<\/strong>, se establece que deben partir perspectivas: la prevenci\u00f3n, la detecci\u00f3n y la correcci\u00f3n.<\/p>\n Desde la visi\u00f3n de las propiedades de la seguridad de la informaci\u00f3n<\/strong> el an\u00e1lisis se sustenta en los pilares de esta: confidencialidad, integridad y disponibilidad.<\/p>\n Desde la concepci\u00f3n de la ciberseguridad<\/strong> el proceso sigue la l\u00f3gica de esta ciencia y por ello se debe valorar desde la identificaci\u00f3n, protecci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n.<\/p>\n Seg\u00fan la \u00f3ptica de la capacidad operativa<\/strong> el proceso se sustenta en la perspectiva de la seguridad desde la capacidad de profesionales o de los participantes, para ser parte de aspectos como la gobernanza o la seguridad f\u00edsica.<\/p>\n Y desde la mirada de los dominios de la seguridad<\/strong> donde son esenciales aspectos como la gobernanza y ecosistema, la protecci\u00f3n, la defensa y la resiliencia, t\u00e9rmino este \u00faltimo, que ha venido ganando terreno por su importancia.<\/p>\n El cambio en la norma ISO 27001 reduce a 93 los controles de seguridad<\/strong>, donde 8 tienen que ver con el personal, 14 con la seguridad f\u00edsica, 34 con la tecnolog\u00eda y 37 con factores organizacionales. A esto se suma que los controles en esta nueva versi\u00f3n no fijan el resultado esperado, pues quedan abiertos a un trabajo de perfeccionamiento sin limitaciones.<\/p>\n De manera muy especial destacan, 11 controles de seguridad en funci\u00f3n de las necesidades de protecci\u00f3n para las nuevas tendencias y enfoques de la ciberseguridad donde destacan la inteligencia de amenazas, la seguridad de los servicios en la nube, la preparaci\u00f3n para el manejo de las TIC en torno a la continuidad de los procesos sustantivos de la organizaci\u00f3n, la eliminaci\u00f3n de la informaci\u00f3n de manera segura, enmascaramiento de datos, prevenci\u00f3n de la fuga de informaci\u00f3n y datos, monitoreo, filtrado de la web y la codificaci\u00f3n segura, entre otros.<\/p>\n Al cambiar la visi\u00f3n de la norma 27001, se genera la necesidad de modificar la 27002, que si bien mantiene como l\u00ednea para la acci\u00f3n el establecimiento de los controles necesarios para el cumplimiento de los objetivos ha adoptado un nuevo t\u00edtulo: \u201cInformation security, cibersecurity and privacy protecci\u00f3n \u2013 Information security controls\u201d.<\/p>\n La fusi\u00f3n de algunos controles, la eliminaci\u00f3n de otros y la aparici\u00f3n de algunos nuevos es el resultado de las modificaciones que sufre la norma 27001 de 2022 en su anexo A.<\/p>\n En este proceso se pudiera hablar de un \u201cefecto domin\u00f3\u201d porque el cambio en la ISO 27001 impacta en la 27002 donde se exponen los objetivos a controlar, pero tambi\u00e9n lo har\u00e1 en la 27005 que fija las pautas para el an\u00e1lisis de riesgos con independencia del m\u00e9todo que se utilice u la 27007 que contiene una gu\u00eda para auditar los sistemas de gesti\u00f3n de la seguridad de la informaci\u00f3n, por solo mencionar las m\u00e1s significativas.<\/p>\n Como se aprecia los cambios en las normas ISO de la serie 27000 generan una revoluci\u00f3n en las maneras de ver y trabajar la ciberseguridad. Si bien se mantiene el trabajo desde posiciones proactivas, al plantear las cosas desde la visi\u00f3n de temas m\u00e1s amplios y no de objetivos delimitados obligar\u00e1 a directivos, especialistas y usuarios de las TIC en general a tomar en consideraci\u00f3n muchos m\u00e1s elementos en el manejo de la seguridad de la informaci\u00f3n.<\/p>\n Est\u00e1 permitida la reproducci\u00f3n de la informaci\u00f3n, siempre que se mencione la fuente de procedencia: Blog de Ciberseguridad de la Universidad de Oriente<\/a>.<\/p>\n El avance de las tecnolog\u00edas y los riesgos que se ciernen sobre estas, cuyo nivel de agresividad es cada vez m\u00e1s alto, requiere de un enfrentamiento de vulnerabilidades con el conocimiento y las herramientas desde la ciencia para establecer un … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"