La nueva ISO 27032 es un estándar de ciberseguridad
Ya se ha hecho pública la nueva versión de la norma ISO 27032, que se convierte en la más específica certificación sobre ciberseguridad. Se trata de una nueva oportunidad para que las empresas demuestren a sus clientes que cumplen con la ley y las diferentes normativas. Y además que son sensibles a los problemas de ciberseguridad, protegiendo y preservando la confidencialidad, integridad y disponibilidad de la información.
Llevamos mucho tiempo insistiendo en la necesidad de que las empresas se certifiquen en los estándares de las tecnologías de la información y os hemos hablado a menudo de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Pero hoy queremos hablaros de la ISO/IEC 27032, porque es un nuevo estándar concreto de ciberseguridad.
La ISO 27032 nació en el año 2012 con el objetivo de mejorar el estado de la ciberseguridad o lo que entonces se llamó “la seguridad del ciberespacio”. Se entendía el ciberespacio como “el entorno complejo resultante de la interacción de personas, software y servicios en Internet por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en cualquier forma física”. Por su parte la RAE lo define como “Ámbito virtual creado por medios informáticos”. Y por lo tanto la seguridad del ciberespacio es “la preservación de la confidencialidad, integridad y disponibilidad de la información en el Ciberespacio”.
Podéis ver un artículo sobre la nueva norma en la web del Centro Criptológico Nacional AQUÍ.
La nueva ISO 27032 es un estándar de ciberseguridad
Desde hace un tiempo la Organización Internacional de Normalización estaba trabajando en una nueva versión de esta norma y ahora finalmente se ha presentado. Entre las novedades más destacadas se encuentra el cubrir los espacios que hasta ahora no quedaban encuadrados en anteriores normas de seguridad de la información. También es importante señalar que la empresa que se va a certificar debe ser muy proactiva en las medidas de seguridad y en los mecanismos de prevención.
Con la ISO 27032 se pretende garantizar la seguridad en los intercambios de información en la red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con cooperación y coordinación. La certificación proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros todos los procesos.
Una vez más debemos recomendar a las empresas que consideren el certificarse, porque la ISO 27032 ayuda a prepararse, detectar, monitorizar y responder a los ataques. Al mismo tiempo permite luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
¿Cómo es la certificación?
TECNOideas puede ayudar a certificaros, como en el caso de la ISO 27001 y del Esquema Nacional de Seguridad. Con el método TECNOideas os será sencillo el trabajo a realizar porque os acompañamos de principio a fin.
La certificación engloba cuatro partes:
- Seguridad de las redes
- Seguridad de la información
- Seguridad en internet
- Protección de las infraestructuras críticas
A partir de ahí, trabajamos con nuestro cliente para revisar los productos y servicios que posee, el marco normativo, su documentación de seguridad, los flujos de información de los procesos, etc. con el fin de llegar al análisis de riesgos.
Sobre ellos establecemos el plan de acción, según las directrices que marca la ISO 27032. Naturalmente, este plan supone la implicación de los diferentes departamentos de la empresa.
En la web de la Organización Internacional para la Estandarización tenéis toda la información sobre esta norma desde sus inicios en 2012, la información general, etc. AQUÍ.
Precisamente la semana pasada publicamos un artículo sobre la necesidad que tienen de certificarse los Centros de Procesos de Datos (CPD). Y es que las certificaciones son necesarias para grandes y pequeñas empresas y por supuesto para los CPD’s, que si no pueden acreditar que cumplen los estándares exigidos, se van a quedar sin clientes.
Esta certificación, como las anteriormente citadas, son de gran ayuda en el modelo de negocio de las empresas que la obtienen porque:
- Asegura el cumplimiento de la ley y las normativas.
- Ofrecen seguridad y seriedad a sus clientes.
- Certifican el buen uso de los datos que sus clientes les confían.
- Ordenan internamente los distintos departamentos en temas de ciberseguridad.
- Ofrecen formación personalizada (según las necesidades de cada departamento) a todo el personal.
- Es una importante ventaja frente a la competencia.
¡Podéis obtener la certificación ISO 27032
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: mcmurryjulie en Pixabay
- Publicado en Certificaciones, General, Normativa, Noticias, Seguridad
Ha llegado la hora de los CPD’s: certificarse o morir
Los Centros de Procesos de Datos (CPD) han ido cogiendo protagonismo poco a poco, con la moda de servicios CLOUD. En la actualidad esto se ha acelerado de tal modo que ya conforman uno de los sectores de mayor crecimiento tras la pandemia. Pero muchos de ellos tienen un grave problema: no poseen las certificaciones necesarias. Particularmente no poseen la ISO 27001 ni el Esquema Nacional de Seguridad (ENS), lo que los deja en fuera de juego, con los clientes o posibles clientes que tengan que cumplir en cadena.
Un centro de datos es una instalación que alberga todas las estructuras básicas e infraestructuras de tecnología de la información (TI) de una organización. Hablamos de servidores, equipamiento eléctrico, electrónico e informático. También se encarga de centralizar las operaciones de TI realizadas. Por ejemplo tener acceso a la información de todos los datos de sus clientes y las operaciones que realizan. Por ello es una estructura básica para cualquier empresa, sea pública o privada.
En un principio, las empresas tenían sus propias instalaciones, pero con el tiempo, los problemas de ciberseguridad, legislativos, económicos o de espacio ha ido obligando a las empresas a renunciar a su propia instalación para alojar todas sus operaciones en CPD’s. Y esto es válido para empresas grandes, medianas o pequeñas. De este modo los CPD’s también han crecido y actualmente se pueden encontrar desde centros en pequeños espacios hasta grandes centros que ocupan edificios enteros.
Podéis leer más información (también técnica) sobre los CPD’s en la Wikipedia o en un artículo algo antiguo y básico del Incibe pero muy claro y esquemático AQUÍ.
¿Cuál es el problema?
Desde su origen los CPD’s estaban obligados a seguir una serie de estándares muy variados. Entre ellos podríamos citar los geográficos (no pueden estar en lugares potencialmente inundables, por ejemplo); técnicos (deben tener infraestructuras fácilmente disponibles como energía eléctrica, carreteras, centrales de telecomunicaciones o bomberos); seguridad física (cámaras de seguridad, detectores de movimiento, cerraduras electromagnéticas, etc.); seguridad lógica de la propia instalación (medidas de protección y/o alertas ante caídas de tensión, desastres naturales, incendios, accesos no autorizados…).
Y esto que comentamos no es banal. Lo podemos comprobar en nuestro día a día. Últimamente son varios los clientes que nos llegan por circunstancias de este sector. Ya no es solo porque tengan que cumplir leyes en protección de datos, sino que tienen clientes, y posibles clientes que han de cumplir con la “rueda” o cadena normativa.
Dicho de otra manera: si una empresa quiere o debe certificarse en el Esquema Nacional de Seguridad va a exigir que sus proveedores, al menos los que afectan a la certificación, y por lo tanto, datos, que también estén certificados. Y esto es válido para el ENS, la ISO 27001 y otras del estilo.
El problema es que estos estándares ya no bastan, porque el mercado y la legislación obliga a que estos centros tengan una certificación dentro del área de la seguridad de la información. Particularmente hablamos de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Los CPD’s que no dispongan de estas certificaciones quedarán automáticamente fuera de las necesidades del mercado, porque muchos de sus clientes se ven obligados a cumplir la cadena normativa. Así que no exageramos nada cuando decimos que a llegado la hora de los CPD’s: certificarse o morir
Para las empresas es fundamental, porque si a la seguridad que ofrece un CPD se le añade haber seguido el proceso de una certificación (recordamos que no solo es burocracia), está incorporando competitividad, diferenciarse de la competencia y en consecuencia, más negocio.
Os recordamos que la certificación es un paso más en todo este proceso. Si pensáis que con un CPD todo está resuelto para vuestra empresa, dejad que os recordemos este artículo publicado en este blog titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
Y es que todo el tema relacionado con los datos es un tema muy serio. Al contrario de lo que suele pensarse, no solo es un proceso burocrático a cumplir, como estamos viendo en muchos casos de protección de datos en nuestros clientes. Pero de eso, ya hablaremos otro día…
¡Podéis obtener estas certificaciones
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: evertonpestana en Pixabay
- Publicado en Certificaciones, General, Mantenimiento, Normativa, Noticias, Seguridad
Cambios en la norma ISO 27002 para este año 2022
¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
La Organización Internacional de Normalización se fundó en Londres en 1947.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará “Controles de Seguridad de la Información”.
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Ventajas
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!
- Publicado en Certificaciones, General, Historia, Normativa, Noticias
Explicando nuestros servicios (III): las ISO y otras normativas o compliance
Cada vez más las empresas se ven sometidas a una serie de leyes y normativas que les obliga a tener fuertes programas de prevención. Dicho de otro modo: poseer certificaciones. Tenerlas puede servir para mitigar los efectos, tanto a nivel interno como legal, frente a eventuales hechos delictivos o infracciones de ley. Quizá el ejemplo más conocido en nuestro entorno sea el de la adaptación a la ley de protección de datos. Pero hay muchas otras certificaciones en los sistemas de la información.
La buena noticia es que todos estos programas preventivos pueden obtenerse a través de un servicio externo que asesore y lo vaya implementando tras analizar la situación de cada empresa. TECNOideas ofrece entre sus servicios el acompañamiento en los procesos de certificación o compliance de varias certificaciones.
¿Qué es compliance?
Compliance es una palabra inglesa que viene a significar “cumplimiento normativo”, entendiendo como tal a las normas internas y también a las externas.
Su origen se encuentra en Estados Unidos en la década de 1970, cuando el sector financiero se vio salpicado de numerosos casos de corrupción. Para combatirla, en 1977 se creó una ley que fue el punto de inicio normativo.
20 años después, en 1997, se firmó el Convenio de la OCDE (Organización para la Cooperación y el Desarrollo Económicos) “de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales e Internacionales” que ratificó España en 2002.
Estas normas las pueden establecer la propia empresa, la Administración, un ente público o incluso el sector al que pertenece una empresa. La primera norma con la que se inició el cumplimiento de la legalidad fue la UNE – ISO 37001, orientada a la lucha contra el soborno. El siguiente paso llegó en 2015, con la ISO 19600 que trataba de evitar a sus poseedores las consecuencias negativas de un incumplimiento de la ley. Se trataba de que las empresas fueran más transparentes.
¿Qué son las ISO?
A partir de entonces la Organización Internacional de Normalización, conocida por el acrónimo ISO, se ocupó de ir creando estándares internacionales. La entidad, fundada en 1947 y con sede en Ginebra, promueve el uso de estándares privativos, industriales y comerciales a nivel mundial.
En la actualidad existen más de 22.000 normas ISO. Abarcan todo tipo de industrias y sectores y por ende, todo tipo de empresas.
¿Cuáles son las más frecuentes en nuestro sector y para qué sirven?
- ISO 27001.
Para los sistemas de Gestión de la Seguridad de la Información.
Permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
Es importante señalar que la ISO 27001 significa una diferenciación respecto a la competencia, que mejora la competitividad y la imagen de una organización. Cada vez es más demandada para poder trabajar con diversos organismos, tanto públicos como privados; para aseguradoras; para la exigencia de clientes a proveedores…
Más información AQUÍ. - ISO 20000.
Es el estándar internacional de calidad en la Gestión de los Servicios de Tecnología de la Información.
Intenta ayudar a las empresas a que sus servicios de TI sean más efectivos. Incorporan en el día a día mejoras en la gestión de estos servicios.
¿Qué otras certificaciones ofrece TECNOideas?
- Esquema Nacional de Seguridad (ENS).
Es una norma de obligado cumplimiento desde el año 2017 en toda España para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).
Garantiza las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas. Tenéis más información AQUÍ. - Esquema Nacional de Interoperabilidad (ENI).
Establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas. Más información AQUÍ. - Plan director de seguridad.
No nos cansamos de deciros y recomendaros que la mejor forma de luchar contra la ciberdelincuencia es trabajar desde el principio implantando un plan de seguridad a nivel de toda la empresa y de todos los trabajadores. El Plan director de seguridad es un protocolo interno, para cumplir dentro de la propia empresa, según criterios marcados por las necesidades y que se debe cumplir sin excepciones, para que su información, procesos y sistemas estén bien protegidos. - Plan de continuidad de negocio.
Tampoco cesamos de advertir que la seguridad absoluta al 100% no existe. Por eso es también necesario tener un plan de continuidad de negocio ante posibles contingencias. No hay que olvidar que cada vez existen más pymes que, tras un ciberataque han tenido que cerrar. Este plan es un protocolo de previsión ante desastres, con simulaciones periódicas, para que su información y sistemas estén a salvo ante cualquier imprevisto, ya sea físico, digital o de sustracción cibernética.
¿Cuánto se tarda en tener una ISO o un ENS y cuánto puede costar?
Estas son preguntas que todos nuestros clientes nos hacen. Sin embargo, a priori, no es posible dar una respuesta global. Creemos que es evidente que no es lo mismo efectuar un programa para una gran empresa de unos 500 trabajadores que una pyme de 10 empleados. Tampoco se puede dar un presupuesto sin conocer los objetivos de la empresa ni la situación de sus tecnologías. TECNOideas analiza las necesidades de cada cliente y propone un plan de trabajo y un plan económico adaptado a cada cliente.
Pero podemos dar unas pautas generales, tanto en tiempo, que pueden ser entre 3 o 6 meses, según la ayuda que nos preste el cliente, y entre 2.500 y 6.000 euros, de una empresa de 10 usuarios, con sistemas mínimos, a una de 250 con varios servidores, y servicios diversos.
Resumiendo: ¿Cuáles son los beneficios para mi empresa al contar con estas certificaciones?
Contar con una certificación de las nombradas, es primero, una ventaja competitiva sobre la competencia. Aunque los demás no sepan que hacemos y como lo hacemos, en referencia a nuestros sistemas de la información y su seguridad, contar con una de estas certificaciones, quiere decir que estamos dentro de unos mínimos, o en calidad o en seguridad.
También por obligación contractual, con clientes o proveedores. Y es que desde hace unos meses, empresas españolas que hacen negocios con otras extranjeras, son conminadas a cumplir con alguna, o varias, de estas certificaciones, y/o pasar alguna auditoría independiente. No debemos olvidar que no solo es cuestión de los demás, sino que los datos van de empresa en empresa, y podemos vernos vulnerados por la relación con una empresa cliente o proveedor, en la que no podemos controlar la seguridad de sus sistemas.
Y desde este año, en las licitaciones con administraciones públicas, donde antes daban puntos por tener certificaciones tipo Esquema Nacional de Seguridad (ENS) o Esquema Nacional de Interoperabilidad (ENI), se ha vuelto casi obligatorio cumplir con ellas, para poder acceder a dichas licitaciones.
TECNOideas os acompaña para obtener la certificación
que vuestra empresa necesita.
Nos ocupamos de las auditorías técnicas al empezar el trabajo. Acompañamos a la empresa y a sus trabajadores en ayudarles a cumplir los puntos necesarios para que la certificación sea posible.
Solucionamos todo el complicado papeleo administrativo y somos el interlocutor con la entidad certificadora dependiente de ENAC.
Para todo ello contamos con un equipo capaz:
jefes de proyecto, auditores sénior, auditores júnior o administrativos técnicos, capaces de acompañar y realizar informes para certificaciones o toda la serie de procesos internos necesaria.
- Publicado en General, Noticias, Protección de datos, Servicios
Español 
Català