ISO/IEC 27001 y ENS: Dupla para la Ciberseguridad

28 noviembre, 2019 por Govertis Blog 0 comentarios

ISO/IEC 27001 y ENS: Dupla para la Ciberseguridad

Es de sobra conocido que la ciberseguridad es transversal a cualquier sistema/tecnología de información utilizada por las organizaciones. Así, dentro de este entorno, se tienen como herramientas básicas para la prevención y defensa en ciberseguridad, el estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información y concretamente en España, el Real Decreto Español 3/2010 por el que se regula el Esquema Nacional de Seguridad (ENS).

En el mencionado entono, se consideran tres aspectos relevantes:

  • El análisis, gestión y mitigación de los ciberriesgos en las Tecnologías de la Información y las
    comunicaciones (TIC) de las organizaciones.
  • Los principales controles/medidas para una protección adecuada de la información, los servicios y
    sistemas de la organización.
  • El ciclo de mejora continua PDCA (Plan, Do, Check, Act)

ISO/IEC 27001, el comodín de la ciberseguridad

La Norma ISO/IEC 27001 establece un Sistema de Gestión de Seguridad de la Información que ya se considera como un comodín para las organizaciones.

El objetivo de esta certificación es claro: implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de la Tecnología de Sistemas de Información y Comunicaciones(TIC). Es el medio más eficaz para minimizar los riesgos, al asegurar que se identifican y valoran los procesos de negocio o servicios de Tecnologías de la Información (TI), los activos y sus riesgos, considerando el impacto para la organización. Además, se implantan controles y procedimientos más
eficaces y coherentes en consonancia con la estrategia de negocio.

  • La Confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
  • La Integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
  • La Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

La Norma ISO/IEC 27001 sigue la estructura de alto nivel SL de ISO, y se apoya en los 114 controles del Anexo A. de la ISO 27001 o ISO 27002

Es necesario considerar varios aspectos para orientar la Norma ISO/IEC 27001 a la ciberseguridad:

  • Análisis de riesgos orientado a procesos de negocio/servicios de TI.
  • Relación con centros de respuesta a incidentes de seguridad y centros que previenen, monitorizan y controlan la ciberseguridad (CERT y SOC). Por ejemplo, CCN‐CERT, INCIBE‐CERT, etc.
  • Auditorías técnicas de Pentesting.
  • Incidencias de seguridad (gestión y notificación en el instante de la detección).
  • Gestión de los parches de seguridad y su distribución.
  • Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) / Ciberresiliencia de TIC.

Ciclo de Mejora Continua ISO/IEC 27001

ISO/IEC 27001 y ENS: Dupla para la Ciberseguridad 1

 

Principales beneficios ISO /IEC 27001

La certificación ISO/IEC 27001 permite establecer una vía de comunicación en el entorno de ciberseguridad dirigido a los objetivos del negocio, involucrando a la alta dirección de las organizaciones y, haciendo posible además la optimización de recursos y costes, orientando los presupuestos TIC a ciberseguridad y la aplicación de controles donde la organización tiene mayores riesgos según sus procesos de negocio.

Asimismo, facilita el cumplimiento de otras normativas que afectan a las organizaciones en lo que respecta a datos almacenados, su privacidad, protección de los mismos y seguridad de la información en general. También proporciona a la organización mayor ciberresiliencia; esto es; puede preveer y gestionar las amenazas y riesgos, continuando con sus operaciones ante un incidente de ciberseguridad.

Todo ello, trae como consecuencia una mejora sustancial de la imagen corporativa de la organización al conseguir una certificación reconocida internacionalmente.

 

ENS y Administración Pública

El Real Decreto 3/2010 de 8 de enero por el que se regula el Esquema Nacional de Seguridad, tiene como objetivo establecer la política de seguridad en la utilización de medios electrónicos por medio de unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información.

Se crean así las condiciones necesarias de confianza en el uso de los citados medios a través de medidas (controles) de seguridad para garantizar la seguridad de los diferentes Sistemas de Información, datos, comunicaciones y servicios electrónicos.

El Esquema Nacional de Seguridad, es de aplicación a las Administraciones Públicas españolas (Administración General del Estado, Comunidades Autónomas, Entidades Locales, etc) y a aquellas
organizaciones privadas que les proveen de servicios o soluciones tecnológicas.

Del mismo modo que en ISO/IEC 27001, se manejan varias dimensiones de Seguridad ‐ (Confidencialidad, Integridad y Disponibilidad [CID]) ‐ en el caso del Esquema Nacional de Seguridad las dimensiones a utilizar, aseguran la Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad de los Sistemas de Información, sus servicios y su información.

El Esquema Nacional de Seguridad es un entorno inspirado en la familia de estándares ISO 27000 y en concreto en la norma ISO/IEC 27001, por lo que su estructura y aplicación responde al modelo de Ciclo de Deming (PDCA‐Mejora continua), considerando análisis de riesgos e implantación de medidas/controles y la categorización, de sus sistemas de información.

Los elementos principales del ENS son:

  • Principios básicos (6)
    – Seguridad integral.
    – Gestión de riesgos.
    – Prevención, reacción y recuperación.
    – Líneas de defensa.
    – Reevaluación periódica.
    – Función diferenciada.
  • Requisitos mínimos (15)
    – Organización e implantación del proceso de seguridad.
    – Análisis y gestión de los riesgos.
    – Gestión de personal.
    – Profesionalidad.
    – Autorización y control de los accesos.
    – Protección de las instalaciones.
    – Adquisición de productos.
    – Seguridad por defecto.
    – Integridad y actualización del sistema.
    – Protección de la información almacenada y en tránsito.
    – Prevención ante otros sistemas de información interconectados.
    – Registro de actividad.
    – Incidentes de seguridad.
    – Continuidad de la actividad.
    – Mejora continua del proceso de seguridad.
  • Controles/medidas (75) agrupadas en ORGanizativas, OPeracionales y Medidas de Protección

ISO/IEC 27001 y ENS: Dupla para la Ciberseguridad 2

Integración ENS e ISO/IEC 27001

El Esquema Nacional de Seguridad (ENS) está inspirado en la familia de estándares ISO 27000 y, en concreto en la norma ISO/IEC 27001, por lo que su estructura y aplicación responde al modelo de Ciclo de Deming (PDCA‐Mejora continua), considerando el análisis de riesgos para la implantación de medidas y controles de seguridad donde sea necesario.

Por lo tanto, facilita una integración sencilla entre las dos normativas, debido a que ambas son complementarias y forman un conjunto idóneo para la ciberseguridad.

A través de la Guía CCN‐STIC‐825 se establecen los aspectos comunes y diferenciadores entre la ISO/IEC 27001 y ENS pudiendo abordar, dentro de un mismo alcance para los sistemas de
información, la certificación integrada de ambas normas.

Adicionalmente permite dar cumplimiento a un Real Decreto Español y disponer de un Sistema de Gestión de Seguridad de la Información de reconocimiento internacional ISO.

Es importante reseñar qué si bien ambas normativas mantienen unas coincidencias comunes, la característica que más las diferencia es que la aplicación de controles; mientras que en ISO/IEC 27001 dicha aplicación es voluntaria en función de la necesidad y conveniencia, por el contrario, en el Esquema Nacional de Seguridad (ENS) es obligatorio el cumplimiento de todas y cada un@ de las medidas de seguridad y controles, en función de la categoría del Sistema.

ISO/IEC 27001 y ENS: Dupla para la Ciberseguridad 3

 

Javier Truchado 

Senior Consultant/Advisor en @govertis

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Nuevos retos: Relaciones jurídicas en los eSports (II)Entrada anterior:
Retos de los Smart ContractsSiguiente entrada