La nueva ISO/IEC 27002:2022 no supone un simple restyling de una norma ya conocida, sino un cambio radical más acorde con los tiempos que, sobre todo, introduce nuevos controles en materia de ciberseguridad y privacidad. Vamos a analizarlos en detalle
08 marzo 2022
Autor: Davide Giribaldi Asesor de Riesgo Cibernético y Seguridad de la Información
Nuevo título, nueva taxonomía, nuevos y más sencillos controles, predisposición hacia la ciberseguridad y la privacidad: estas son, en primera instancia, las diferencias respecto a la versión anterior de ISO/IEC 27002:2022.
No se trata de un simple restyling, sino de un cambio radical más acorde con los tiempos y el nuevo título, «Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad«, proporciona un primer ejemplo.
Cómo se estructura ISO/IEC 27002:2022
La nueva taxonomía utilizada por ISO/IEC 27002:2022 pasa de una división en 14 capítulos a una categorización de controles en cuatro grupos:
- People
- Physical
- Technological
- Organizational
y los asocia con cinco atributos:
- Tipo de control
- Propiedades de seguridad de la información
- Conceptos de ciberseguridad
- Capacidades operativas
- Entorno de seguridad
a través del cual es posible filtrar, ordenar y presentar los controles desde diferentes puntos de observación en función de los interlocutores interesados en su análisis.
Los controles bajan de 114 a 93 de los cuales 8 para personas, 14 para objetos físicos, 34 para tecnología y 37 para aspectos organizativos. Algunos son nuevos, otros son el resultado de la unión de dos o más controles de la versión anterior.
Pero eso no es todo, los controles se etiquetarán según el tipo:
- preventivo
- detectivo
- correctivo
de propiedades:
- confidencialidad
- integridad
- disponibilidad
o los conceptos del marco de ciberseguridad (ISO/IEC 27110) en el que se basa el NIST:
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
En definitiva, un gran salto hacia la privacidad y la ciberseguridad para demostrar estar a la altura de los tiempos.
Relaciones entre ISO 27001 y 27002
Obviamente no todo es tan lineal como parece a primera vista, aquellos que tienen un poco de confianza en la seguridad de la información, conocen la relación fundamental entre ISO 27001 y 27002.
Sabe que el primero contiene los requisitos para implementar un sistema de gestión, mientras que el segundo proporciona apoyo a las medidas y mejores prácticas para mejorar la postura de seguridad de la información. Sin entrar en lo técnico, la ISO 27001 hace uso de los controles de la 27002 pero transforma las sugerencias (debería) en disposiciones (deberá) y la cuestión es que al menos hasta mayo de este año no tendremos la adaptación 2022 de la querida y antigua ISO/IEC 27001:2013.
Esto significa que a la fecha actual el Anexo A de 27001 que trata de los objetivos de control y los controles de referencia, no es coherente con el nuevo 27002 y por lo tanto los controles a aplicar siguen siendo los actuales referidos a los 14 capítulos (de 5 a 18) de la anterior ISO/IEC 27002:2013.
Aunque pueda parecer bastante complejo, es bueno tener en cuenta dos situaciones diferenciadas: las organizaciones que ya cuentan con la certificación ISO 27001:2013 y las que pretenden obtenerla por primera vez.
En el primer caso, dado que los cambios se refieren principalmente a la reorganización de los controles, al menos por el momento no será necesario modificar la estructura del sistema de certificación, ni añadir nuevos documentos, del mismo modo que será inútil eliminarlos.
Habrá tiempo para pasar a la nueva taxonomía y probablemente la forma más fácil de gestionar la transición será actualizar los procesos de tratamiento de riesgos y revisar cuidadosamente algunas secciones de las políticas y procedimientos, después de todo esto también es parte de los procesos de mejora continua.
Para aquellos que pretendan certificarse por primera vez durante el año será conveniente partir del análisis, no obligatorio, pero útil de la nueva ISO/IEC 27002:2022 y comenzar a trabajar en conceptos actuales con el apoyo del Anexo B de la Guía que informa con precisión las referencias de los nuevos controles frente a las previstas por la versión anterior de ISO 27002
El análisis de los nuevos controles de la norma ISO IEC 27002:2022
Como ya se mencionó anteriormente, la Norma considera noventa y tres controles, once de los cuales son completamente nuevos, nueve de los cuales, queriendo analizar los atributos (Preventivo, Detective, Correctivo), son preventivos y esto dice mucho sobre la atención prestada por la nueva norma a la importancia de anticipar situaciones potencialmente peligrosas preparando correctamente el contexto empresarial para la seguridad de la información.
Echando un vistazo a la nueva taxonomía (Organizacional, Personas, Física, Tecnológica), siete de los once nuevos controles se refieren al dominio tecnológico, tres al dominio organizacional y uno al físico; el único dominio que no presenta noticias es el que se refiere a las personas.
Los nuevos controles tecnológicos se centran en la configuración segura de hardware, software, servicios y redes (8.9 Gestión de la configuración), en el desarrollo seguro de código para reducir el número de vulnerabilidades potenciales (8.28 Codificación segura), en la gestión del acceso web (8.23 Filtrado web), pero sobre todo en la eliminación de información (8.10 Eliminación de información), ofuscación y prevención de la pérdida de datos (8.11 Enmascaramiento de datos – 8.12 Prevención de fugas de datos).
Con la introducción de estos 3 controles tecnológicos, ISO / IEC 27002: 2002 da un paso significativo hacia el GDPR y está más armonizado con RESPECTO A ISO / IEC 27701: 2019 que se ocupa precisamente de la creación y mantenimiento de un sistema de gestión de privacidad de la información (PIMS).
Sin embargo, cabe destacar que los controles no aportan un valor añadido desde un punto de vista técnico, sino que especifican y sugieren comportamientos generales a adoptar para eliminar, seudonimizar y anonimizar la información, así como evitar violaciones de datos.
Permaneciendo en el dominio tecnológico, creo que es útil recordar la atención particular prestada por ISO / IEC 27002: 2022 al monitoreo de actividades (8.16 actividades de monitoreo).
Instrucciones para gestionar incidentes de seguridad
De acuerdo con la norma, las redes, sistemas y aplicaciones deben ser monitoreados para detectar comportamientos anómalos y tomar las medidas apropiadas para anticipar, evaluar y contener posibles incidentes de seguridad de la información.
Las acciones de monitoreo deben establecerse de acuerdo con los objetivos comerciales y los requisitos de seguridad y deben definir una «línea de base» de comportamiento normal fuera de la cual, actuar.
Además de esto, se deben informar los eventos anómalos para mejorar las actividades de auditoría y los análisis de vulnerabilidades deben enmarcarse dentro de los procedimientos para identificar cualquier falso positivo.
Más allá de la falta de conocimientos técnicos detallados, creo que este control resalta muy bien la importancia de una acción constante y proactiva en materia de seguridad de la información.
La seguridad proactiva nos da una ventaja potencial sobre situaciones no deseadas, la de comprender realmente nuestra infraestructura, monitorear sus debilidades y prepararnos cuando (y no si) un incidente cibernético también nos sucede.
La búsqueda de amenazas, la detección de vulnerabilidades, la protección de endpoints, la piratería ética son las palabras más utilizadas cuando se trata de seguridad proactiva. Se trata de un conjunto de técnicas y comportamientos que simulan posibles ataques y ayudan a identificar brechas y mejorar nuestra postura hacia la seguridad de la información, pero por sí solas no son suficientes, necesitamos hacer más.
El caso ISO/IEC 27002:2022 ofrece dos puntos de apoyo para la seguridad proactiva, Threat Hunting y Machine Learning/Artificial Intelligence Systems; Creo que falta el más importante: el hombre, pero es solo una consideración completamente personal.
Los controles organizacionales, por otro lado, se centran en tres cuestiones muy delicadas: la búsqueda de posibles amenazas (5.7 Inteligencia de amenazas), los servicios en la nube vistos sobre todo desde el punto de vista del cliente que utiliza los servicios y no del proveedor (5.23 Seguridad de la información para el uso de servicios en la nube), continuidad del negocio (5.30 Preparación de las TIC para la continuidad del negocio).
El importante papel de la inteligencia de amenazas
La introducción del control sobre la Inteligencia de Amenazas tiene como objetivo crear conciencia sobre las posibles amenazas que se ciernen sobre la organización para poder tomar las contramedidas necesarias y mitigar su impacto y es en este contexto que su definición detallada debe ser analizada y particularmente precisa dentro del documento marco.
Como sabemos, la Inteligencia de Amenazas es un conjunto de herramientas, buenas prácticas y acciones, para la recopilación, análisis y puesta en común de información sobre ciberamenazas y es fundamental para definir estrategias preventivas, tácticas de intervención y operaciones de monitorización que permitan reducir los riesgos de ciberataques.
Es útil para organizaciones de cualquier tamaño y madurez digital porque su propósito final es evitar la pérdida de datos, proporcionar respuestas sobre seguridad de la información y contener riesgos.
De acuerdo con la nueva ISO/IEC 27002:2022, la Inteligencia de Amenazas debe ser relevante (por lo tanto, vinculada a la protección de la información de la organización, profundizada (por lo tanto acompañada de dictados específicos de análisis de amenazas), contextual y activada de manera rápida y efectiva.
La Guía también establece que la Inteligencia de Amenazas debe ser considerada en tres niveles para ser analizados en su conjunto: Estratégico (por ejemplo, el intercambio de información de alto nivel sobre escenarios de amenazas), táctico (para obtener información sobre métodos, herramientas y tecnologías en uso por potenciales atacantes, definir debilidades y contramedidas para la defensa del ecosistema empresarial), operacional (para dirigir reacciones a corto plazo, tener detalles sobre ataques específicos y analizar toda la información disponible).
Además, las actividades de Inteligencia de Amenazas deben establecer objetivos para la producción de información sobre amenazas, identificar, examinar y seleccionar fuentes internas y externas, recopilar, procesar y analizar información de fuentes seleccionadas, pero sobre todo comunicar y compartir información con los interesados de una manera comprensible.
Finalmente, la información sobre amenazas debe analizarse y posteriormente utilizarse mediante la implementación de procesos para incluirla en la gestión de riesgos de seguridad de la información, como un insumo adicional a los controles técnicos preventivos y de investigación (por ejemplo, sistemas de detección de intrusiones), como entrada a los procesos y técnicas de prueba de seguridad de la información.
Conclusiones
Cierro este análisis con algunas consideraciones muy personales: ISO/IEC 27002:2022 presenta importantes innovaciones no solo desde el punto de vista del contenido, sino sobre todo del entorno.
Se renueva conceptualmente, está más alineado con el contexto actual y aunque no es muy equilibrado en términos de conocimientos técnicos, porque algunos controles son profundos y otros menos, representa un excelente punto de partida en el que basar el desarrollo de un Sistema de Gestión de Seguridad de la Información.
Es muy interesante, útil y realmente creo que vale la pena estudiarlo a fondo.
Original en italiano, publicado en: https://www.cybersecurity360.it/soluzioni-aziendali/la-nuova-iso-iec-270022022-cosa-cambia-e-perche-e-importante-per-la-sicurezza-delle-informazioni/
