lunes, 11 de diciembre de 2023

Importancia de Seguridad de la Información

 

Por Judith Quinatoa Arias

La información es un activo valioso que puede hacer crecer o destruir a una organización, para ello es importante asegurar la confidencialidad, integridad y disponibilidad de la información de una organización. Los sistemas y aplicaciones que la tratan en las organizaciones son de vital importancia para todos. Esto se puede lograr mediante la implementación de la norma NTE INEN ISO/IEC 27001.

 

Es importante indicar que la norma NTE INEN ISO/IEC 27001 no es solo una norma de ciberseguridad, sino también es una norma de Seguridad de la Información, en formato digital, en papel, microfilm, video o cualquier otro medio. Además de los requisitos, la ISO/IEC 27001 nos aporta un Sistema de Gestión de Seguridad de la Información (SGSI) sólido en medidas direccionadas a proteger la información, independientemente del formato contra cualquier tipo de amenaza, y garantiza la seguridad de la información  en cada paso del proceso y en las actividades de las organizaciones.

 

 

Figura 1: Recomendaciones para administrar la información, disponible en: https://www.unir.net/ingenieria/revista/iso-27001/

 

Tomando en cuenta estos aspectos, el Servicio Ecuatoriano de Normalización (INEN), desde el año 2014 realiza adopciones de los documentos normativos de la familia de ISO/IEC 27000 y las actualizaciones respectivas. En el 2022, el INEN empezó a participar como miembro Participante (miembro P) en el Comité Internacional ISO/IEC JTC 1/SC 27, para lo cual el INEN ha aportado activamente y se han realizado, hasta el momento, 110 votaciones que han incidido en documentos normativos de retiro, revisión, confirmación y nuevos proyectos.

 

El Comité Técnico ISO/IEC JTC 1, Tecnologías de la información, es un comité técnico conjunto (JTC) de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) y su propósito es desarrollar, mantener y promover normas en los campos de las tecnologías de la información y las comunicaciones (TIC).

 

Con este antecedente en el mes de agosto de 2022, el INEN realizó el Comité Nacional Espejo, “Tecnologías de la Información”, en la cual se revisó el documento ISO/IEC FDIS 27001, Information security, cybersecurity and privacy protection Information security management systems — Requirements, para el cual se emitieron observaciones como posición país al Comité ISO/IEC JTC 1/SC 27.  

 

ISO/IEC FDIS 27001 tiene como objeto especificar “los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. Este documento también incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en este documento son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.”. (ISO/IEC 27001:2022).

 

Finalmente, en noviembre del 2022, el INEN participó de manera presencial en la Reunión Plenaria del Comité Internacional ISO/IEC JTC 1, Tecnologías de la Información en Tokyo – Japón. En esta Reunión Plenaria se evidenció que el Comité Técnico JTC1 es extremadamente grande, contiene varios subcomités y grupos de trabajo, lo que hace que este comité trate varias aristas temáticas que van con la tendencia tecnológica y mundial sobre el desarrollo, la revisión y aprobación de las normas técnicas relacionadas a Tecnologías de la Información. Además, fue posible conocer de forma directa la planificación del año 2023 y los documentos que se encuentran en cada etapa de estudio.

 

Bibliografía

·      ISO/IEC 27001, Information security, cybersecurity and privacy protection — Information security management systems — Requirements.

 

·      Consultoría Online,  (septiembre, 2021), ISO 27001 SEGURIDAD DE LA INFORMACIÓN, Normas ISO.  https://www.normas-iso.com/iso-27001/

 

 

¿Qué es ISO/IEC 27002?

 

Por César Cabrera

 

ISO/IEC 27002 es una norma internacional que proporciona orientación para las organizaciones que buscan establecer, implementar y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) centrado en la ciberseguridad. Ver la Figura 1. Mientras que ISO/IEC 27001 describe los requisitos para un SGSI, ISO/IEC 27002 ofrece mejores prácticas y objetivos de control relacionados con aspectos clave de ciberseguridad, incluido el control de acceso, la criptografía, la seguridad de los recursos humanos y la respuesta a incidentes. La norma sirve como modelo práctico para las organizaciones que buscan salvaguardar de forma eficaz sus activos de información contra las amenazas cibernéticas. Siguiendo las directrices y recomendaciones de ISO/IEC 27002, las empresas pueden adoptar un enfoque proactivo para la gestión de riesgos de ciberseguridad y proteger la información crítica contra el acceso no autorizado o su pérdida.

 

Figura 1. Esquema de un SGSI


Fuente: https://enterpriseit.cl/conoces-lo-que-es-un-sistema-de-gestion-de-seguridad-de-la-informacion/

 

¿Por qué es importante ISO/IEC 27002?

El panorama digital en rápida evolución ha generado oportunidades sin precedentes para las empresas, pero también ha introducido una gran cantidad de vulnerabilidades y amenazas. La implementación de los controles y directrices de ISO/IEC 27002 significa un enfoque proactivo para la seguridad de la información, minimizando los riesgos de violaciones de datos, acceso no autorizado y posibles daños financieros y de reputación. Ver la Figura 2.

 

Figura 2. Controles descritos en ISO/IEC 27002:2022

 


Fuente:https://globaltrustassociation.org/es/sabes-cuales-son-las-mejoras-de-la-nueva-iso-270022022/

 

Esta norma sirve de base para el Esquema Gubernamental de Seguridad de la Información, EGSI, que es de cumplimiento obligatorio en las instituciones del Estado mediante el Acuerdo Ministerial 025-2019.

 

El INEN ha realizado la adopción de esta norma internacional como
NTE INEN-ISO/IEC 27002, Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de seguridad de la información (ISO/IEC 27002:2022, IDT)

 

ISO/IEC 27002, ayuda a las organizaciones a enfrentar los desafíos de seguridad de la información mediante un marco probado de mejores prácticas, garantizando que no solo protejan sus datos confidenciales sino que también fomenten la confianza entre las partes interesadas, clientes y socios.

 

Bibliografía:

-       https://www.iso.org/standard/75652.html