La información, los datos y las personas son los principales activos de una organización. Por eso, la ciberseguridad se ha convertido en una prioridad estratégica para generar confianza en la actual sociedad digital. Da igual el tamaño de la compañía, si es una multinacional o un emprendedor tecnológico, garantizar la seguridad de los sistemas y la privacidad de los datos es una de las primeras decisiones de las startups.
El informe anual de riesgos del World Economic Forum advierte de una ‘policrisis’, donde los ciberataques y el cibercrimen se sitúan como uno de los diez riesgos que hay que considerar. También los ataques Living Off the Land (LOtL), en los que los atacantes utilizan software y funciones legítimas de los sistemas informáticos corporativos para pasar desapercibidos en las funciones técnico-operativas rutinarias ante los responsables y administradores de los sistemas.
En este escenario, la certificación ISO/IEC 27001 se convierte en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad, desde el punto de vista técnico, organizacional y legal según el análisis de riesgos de los sistemas de la información. En esta línea, el certificado del Sistema de Gestión de Seguridad de la Información de AENOR, de acuerdo a UNE-EN ISO/IEC 27001:2017, es el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los procesos de negocio y/o servicios de TI, activos y sus riesgos, considerando el impacto para la organización, y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de negocio, considerando la mejora continua.
Para atender a estas nuevas ciberamenazas la certificación ISO/IEC 27001 ha sido actualizada por el comité técnico de ISO en febrero de 2022.
Las novedades se centran en mejorar su legitimidad y facilitar su comprensión; se han actualizado las cláusulas para mantener la estructura SL de ISO, junto a su Anexo A de controles, alineadas con las tendencias actuales, entre ellas la seguridad del software y la inteligencia artificial; se puede realizar una evaluación de los riesgos de forma más eficiente y segura; y se hace mayor énfasis en la necesidad de considerar la seguridad digital en todos los aspectos de la gestión de la empresa. Las organizaciones certificadas deberán adaptar sus sistemas de gestión a la nueva versión antes del 31 de octubre de 2025, donde AENOR ya tiene la autorización por ENAC para poder realizar auditorías con la nueva versión.
Esquema Nacional de Seguridad
Las administraciones públicas vienen fortaleciendo la política de seguridad en la utilización de medios electrónicos a través del Esquema Nacional de Seguridad (ENS), que se aplica a todo el sector público y a sus proveedores tecnológicos del sector privado. Con el fin de generar confianza en los sistemas de información de las Administraciones Públicas, el ENS establece la obligatoriedad de realizar una auditoría de certificación por una entidad acreditada por ENAC.
AENOR ha sido la primera Entidad en obtener la acreditación de ENAC (Entidad Nacional de Acreditación) para certificar conforme a la nueva versión del Esquema Nacional de Seguridad (ENS). El ENS se publicó por primera vez en 2010, fue modificado en 2015 y en mayo de 2022, ha sido nuevamente actualizado. Entre las novedades, evolución de los principios básicos: prevención, detección, respuesta y conservación, incluyendo el principio de vigilancia continua; modificación de la terminología: de la seguridad por defecto a Mínimo privilegio; actualización de los controles/medidas de seguridad: de 75 medidas se actualizan 73; incorporación del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al Esquema más eficaz y eficiente; y establecimiento de un protocolo de actuación ante ciberincidentes, donde se establecen las condiciones de notificación al CCN-CERT.
Los sistemas de información de los servicios electrónicos de las AA.PP. deberán estar adecuados al ENS antes de mayo 2024. El ENS también es aplicable a operadores del sector privado que prestan servicios o provean soluciones a entidades públicas.
Actualmente, más de 1.000 organizaciones nacionales e internacionales cuentan con certificados AENOR en ISO/IEC 27001 o Esquema Nacional de Seguridad, lo que convierte a AENOR en la entidad líder en soluciones de ciberseguridad.
Fuente: El Comercio
