En la actualidad, un amplio abanico de estándares de seguridad de la información se ha actualizado revolucionando el panorama actual. De esta manera, desde la norma ISO27001 probablemente la mayoritaria en el mercado hasta eIDAS2 norma sobre certificación digital, la más minoritaria, han publicado nuevas versiones. En este artículo pretendemos hacer un rápido repaso a la situación en general y a los plazos que nos marcan el futuro.
ISO27001 Sistema de Gestión de seguridad de la Información versión 2022
Norma ISO de amplia implantación en todo tipo de organizaciones con necesidades de seguridad.
Principales cambios:
- Inclusión del punto 6.3 de gestión del cambio (enfoque estratégico del mismo).
- Reducción de los controles de 114 a 93.
- 11 nuevos controles basados en servicios en la nube, inteligencia de las amenazas, mejora de la monitorización (seguridad física y digital), gestión de la configuración, mejora de redes (filtrado, enmascaramiento), …
Plazo: El plazo establecido para esta norma publicada en 2022 es para octubre de 2025. Por ello el próximo octubre dejaran de emitirse certificados con la versión anterior y será necesaria la transición antes de la mencionada fecha.
TISAX (VDA-ISA) Information Security Assessment v6.0
Norma de Seguridad de la Información que abarca al sector de la automoción. Cada vez más los principales fabricantes exigen mencionada norma a sus proveedores. Publicada esta nueva versión en octubre de 2022.
Principales cambios:
- Incremento de controles pasamos a 45 en la pestaña de seguridad de la información.
- Cambio en el sistema de etiquetas a los parámetros de seguridad alta o muy alta se añaden los parámetros de confidencialidad y disponibilidad.
- 6 nuevos controles basados en gestión de software, incidentes, crisis, continuidad y copias de seguridad.
Plazo: El plazo ya expiró el 1 de abril del presente año. Por lo que todos los expedientes nuevos y renovaciones ya se ejecutarán en la versión 6.0. Así que ya no es posible certificar en versión 5.1 si no se ha efectuada el kick off en fecha anterior.
(ENS) Esquema Nacional de Seguridad
En mayo de 2022 se publicó el Real Decreto 311/2022 que se regula el Esquema Nacional de Seguridad. Los requisitos y controles establecidos afectan a los proveedores de servicios y productos de la administración pública que así lo requiera para garantizar la seguridad del suministro.
Principales cambios:
- Se introduce el principio de vigilancia continua (Prevención, detección, respuesta y conservación).
- Se sustituye la seguridad por defecto por el termino de mínimo privilegio.
- Se mantienen los 4 controles de marco organizativo.
- Se incrementa en 2 controles el marco operacional.
- Reducción de las medidas de protección agrupándolas en 36.
Plazo: Entró en vigor del 3 de mayo de 2022 y establecía un plazo de veinticuatro meses para que los sistemas de información se adecuen al nuevo ENS. Por ello este 4 de mayo vencerá el plazo para poder realizar la transición.
NIS2 Network Information Service
Requisito de seguridad para las organizaciones de telecomunicaciones que afecten a sectores altamente críticos (energía, banca. Salud, administración pública,…) o críticos (gestión de residuos, alimentación, dispositivos médicos,…).
Principales cambios:
- Alcance ampliado a entidades con más de 250 trabajadores, facturación anual de 50 millones o balance de 43.
- Se incrementan las sanciones.
- Reducción de plazos de comunicación de incidentes.
- Obligación de comunicación al consejo de administración.
Plazo: Publicada en diciembre de 2022 la Directiva (UE) 2022/2555, marca como fecha límite para su conversión en ley nacional el 17 de octubre del presente año. Por lo que deja en manos de cada estado europeo los plazos de cumplimiento, deberemos estar atentos a su emisión.
eIDAS2 Electronic Identification Authentication and trust Services
Reglamento Europeo obligatorio para los prestadores de servicios de confianza. Desde la publicación de eIDAS, es un requisito obligatorio para todas aquellas organizaciones que emiten soluciones de identidad digital (certificados digitales, sellos de tiempo,…).
Principales cambios:
- Incremento de la mitigación de riesgos cibernéticos.
- Gestión de wallets.
- Uso transfronterizo de identidades electrónicas.
- Segmentación de los datos de identidad en función de la necesidad.
Plazo: En proceso de votación durante febrero se espera su publicación durante el primer semestre del año. Y establecerá que la fecha límite para los proveedores de servicios de confianza sea septiembre de 2026.
Además, a todo ello les hemos de sumar otros estándares de seguridad tales como:
A la norma ISO21434 de ciberseguridad en productos de automoción publicada en 2021 recientemente le tenemos que añadir la respuesta de TISAX con la publicación de VCS en octubre de 2023, para dar cumplimiento a la UN-R155 Certificate of compliance.
Y el Reglamento Europeo 2024/482, que desplegará una certificación de ciberseguridad (EUCC) para productos de tecnologías de la información y la comunicación, basado en criterios comunes para toda la UE, aplicable a partir del 27 de febrero del 2025. Estos criterios comunes estarán basados en la norma ISO 15408 «Seguridad de la información, ciberseguridad y protección de la privacidad. Criterios de evaluación para la seguridad de las tecnologías de la información».
Debido a la reciente actualización de la norma ISO27001 Sistema de Gestión de seguridad de la información y ISO27002 Controles de seguridad, en breve se procederá a la actualización de la ISO27701 de privacidad de las personas.
Es por ello por lo que nos esperan unos meses / años bastante entretenidos.
Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
Soci fundador de TotalRisk
Llegir article en català