La seguridad de la información es un tema cada vez más importante en la era digital en la que vivimos. Con el aumento constante de los riesgos y amenazas, se hace necesario contar con estándares internacionales que permitan establecer una gestión eficiente y efectiva de la seguridad de la información. En este sentido, la International Organization for Standardization (ISO) y el Gobierno de España han anunciado la actualización de dos de los principales marcos de referencia en este ámbito: la norma ISO 27001 y el Esquema Nacional de Seguridad (ENS).
La norma ISO 27001:2022 es una actualización de la ISO 27001:2013, que establece los requisitos para la implementación de un sistema de gestión de seguridad de la información (SGSI) en cualquier tipo de organización. Por su parte, el ENS es un marco de referencia español que establece los requisitos necesarios para garantizar la seguridad de la información en las administraciones públicas y en aquellas empresas que prestan servicios al sector público. Ambos marcos de referencia se han actualizado para adaptarse a los nuevos desafíos y riesgos que plantea la era digital.
La ISO 27001:2022
La norma ISO 27001:2022 es una actualización de la ISO 27001:2013, que fue la primera norma internacional para la gestión de la seguridad de la información. La nueva versión tiene como objetivo proporcionar una estructura más clara y coherente para la gestión de la seguridad de la información y está diseñada para adaptarse a un mundo en constante cambio.
La principal novedad de la ISO 27001:2022 es su enfoque en la gestión del riesgo, que es uno de los principales desafíos que enfrentan las organizaciones en la actualidad. La norma establece que las organizaciones deben identificar y evaluar los riesgos de seguridad de la información y establecer medidas de mitigación y gestión de los mismos. Además, se hace hincapié en la necesidad de establecer un proceso de mejora continua, que permita a las organizaciones adaptarse a los cambios en el entorno de seguridad.
Otra novedad importante de la ISO 27001:2022 es su enfoque en la colaboración y la comunicación. La norma establece la importancia de involucrar a todas las partes interesadas en el proceso de gestión de la seguridad de la información, incluyendo a los empleados, proveedores, clientes y otros socios. Además, se hace hincapié en la importancia de establecer una comunicación efectiva y transparente con todas las partes interesadas, para garantizar que se comprendan los riesgos y las medidas de mitigación.
En resumen, la ISO 27001:2022 establece los siguientes requisitos para la gestión de la seguridad de la información:
- Identificación y evaluación de los riesgos de seguridad de la información.
- Establecimiento de medidas de mitigación y gestión de los riesgos.
- Establecimiento de un proceso de mejora continua.
- Involucramiento de todas las partes interesadas en el proceso de gestión de la seguridad de la información.
- Comunicación efectiva y transparente con todas las partes interesadas.
El ENS
El Esquema Nacional de Seguridad (ENS) es un marco de referencia español que establece los requisitos necesarios para garantizar la seguridad de la información en las administraciones públicas y en aqu ellas empresas que prestan servicios al sector público. El ENS tiene como objetivo principal proteger la información y los servicios ofrecidos por las administraciones públicas, garantizando la confidencialidad, integridad, disponibilidad y autenticidad de la información.
El ENS ha sido actualizado recientemente para adaptarse a los cambios en el entorno de seguridad y a los nuevos desafíos que plantea la era digital. La nueva versión del ENS establece un enfoque basado en el riesgo, similar al de la ISO 27001:2022. Además, se han actualizado los requisitos para adaptarse a los nuevos entornos tecnológicos, como el uso de la nube y la virtualización.
Entre los requisitos del ENS se encuentran la necesidad de establecer un sistema de gestión de la seguridad de la información (SGSI), que incluya la identificación y evaluación de los riesgos, la implementación de medidas de seguridad adecuadas y la monitorización y revisión continua del sistema. Además, se establecen requisitos específicos para la gestión de la seguridad en la nube y para la gestión de la seguridad en el contexto de la virtualización.
Otro aspecto importante del ENS es la necesidad de establecer medidas de seguridad adecuadas para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información. Esto incluye la implementación de medidas técnicas, organizativas y legales para proteger la información, así como la necesidad de establecer medidas para garantizar el cumplimiento de las obligaciones legales y contractuales.
En resumen, el ENS establece los siguientes requisitos para la gestión de la seguridad de la información en las administraciones públicas y en aquellas empresas que prestan servicios al sector público:
- Establecimiento de un SGSI basado en el riesgo.
- Identificación y evaluación de los riesgos de seguridad de la información.
- Implementación de medidas de seguridad adecuadas.
- Monitorización y revisión continua del SGSI.
- Establecimiento de medidas de seguridad adecuadas para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información.
- Implementación de medidas técnicas, organizativas y legales para proteger la información.
- Establecimiento de medidas para garantizar el cumplimiento de las obligaciones legales y contractuales.
Comparación entre la ISO 27001:2022 y el ENS
Tanto la ISO 27001:2022 como el ENS establecen requisitos para la gestión de la seguridad de la información, aunque se enfocan en diferentes contextos. Mientras que la ISO 27001:2022 es aplicable a cualquier tipo de organización, el ENS se enfoca específicamente en las administraciones públicas y en aquellas empresas que prestan servicios al sector público.
Una de las principales diferencias entre la ISO 27001:2022 y el ENS es su enfoque. Mientras que la ISO 27001:2022 establece un enfoque general para la gestión de la seguridad de la información, el ENS se enfoca específicamente en los requisitos necesarios para garantizar la seguridad de la información en las administraciones públicas y en aquellas empresas que prestan servicios al sector público.
Otra diferencia importante es la presencia de requisitos específicos en el ENS para la gestión de la seguridad en la nube y para la gestión de la seguridad en el contexto de la virtualización. Estos requisitos no están presentes en la ISO 27001:2022, lo que refleja la importancia de estos temas en el entorno de las administraciones públicas y las empresas que prestan servicios al sector público.
En cuanto a los requisitos específicos, el ENS establece requisitos para la gestión de la seguridad en la nube, como la necesidad de implementar medidas para garantizar la privacidad y la protección de datos, así como la necesidad de establecer un acuerdo de nivel de servicio (SLA) con el proveedor de servicios en la nube. Además, el ENS establece requisitos específico para la gestión de la seguridad en el contexto de la virtualización, como la necesidad de implementar medidas para garantizar la separación de los entornos virtuales y la protección de las máquinas virtuales.
Otra diferencia entre la ISO 27001:2022 y el ENS es su enfoque en la gestión de la seguridad de la información. Mientras que la ISO 27001:2022 establece requisitos para la implementación de un SGSI basado en el riesgo, el ENS se enfoca en la necesidad de establecer medidas de seguridad adecuadas para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información.
En cuanto a la estructura, la ISO 27001:2022 establece un conjunto de requisitos genéricos para la gestión de la seguridad de la información, mientras que el ENS establece requisitos específicos para la gestión de la seguridad de la información en las administraciones públicas y en aquellas empresas que prestan servicios al sector público.
En general, ambas normas son complementarias y pueden ser implementadas conjuntamente.
Conclusiones:
La seguridad de la información es un tema crítico para cualquier organización. La nueva versión de la norma ISO 27001:2022 y la actualización del ENS reflejan la importancia de adaptarse a los cambios en el entorno de seguridad y a los nuevos desafíos que plantea la era digital.
La ISO 27001:2022 establece un enfoque basado en el riesgo para la gestión de la seguridad de la información en cualquier tipo de organización, mientras que el ENS establece requisitos específicos para la gestión de la seguridad de la información en las administraciones públicas y en aquellas empresas que prestan servicios al sector público.
Ambas normas pueden ser implementadas conjuntamente para mejorar la gestión de la seguridad de la información en una organización que presta servicios al sector público. La ISO 27001:2022 proporciona un marco general para la gestión de la seguridad de la información, mientras que el ENS establece requisitos específicos para la gestión de la seguridad de la información en el contexto de las administraciones públicas y las empresas que prestan servicios al sector público.
En conclusión, la implementación de normas como la ISO 27001:2022 y el ENS puede ayudar a las organizaciones a mejorar la gestión de la seguridad de la información y a garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos. Esto a su vez puede generar confianza en los clientes y en los ciudadanos, lo que es fundamental para la reputación y el éxito de cualquier organización.
Además, es importante destacar que la seguridad de la información no es una tarea exclusiva de los departamentos de tecnología, sino que es responsabilidad de toda la organización. Por lo tanto, la implementación de un SGSI debe involucrar a todos los departamentos y niveles jerárquicos de la organización.
Por último, es fundamental tener en cuenta que la seguridad de la información es un proceso continuo que requiere revisión y actualización constante. La implementación de normas como la ISO 27001:2022 y el ENS puede ser un primer paso importante, pero es necesario mantener una cultura de seguridad y realizar revisiones periódicas para adaptarse a los cambios en el entorno de seguridad y garantizar la eficacia de las medidas implementadas.
En resumen, la nueva versión de la norma ISO 27001:2022 y la actualización del ENS son una respuesta a los nuevos desafíos que plantea la era digital y reflejan la importancia de adaptarse a los cambios en el entorno de seguridad. La implementación conjunta de estas normas puede mejorar la gestión de la seguridad de la información en cualquier tipo de organización que presta servicios al sector público, generando confianza en los clientes y ciudadanos y garantizando la confidencialidad, integridad, disponibilidad y autenticidad de los datos.
“La invencibilidad es una cuestión de defensa, la vulnerabilidad es una cuestión de ataque”.
Sun Tzu de El arte de la Guerra.
Anécdotas de un Guerrero.
Y también CCO y CMO de ISOCERT.ES
O como me gusta a mí llamarlo Director Comercial
jmartinez@isocert.es