A l'actualitat, un ampli ventall d'estàndards de seguretat de la informació s'ha actualitzat revolucionant el panorama actual. D'aquesta manera, des de la norma ISO27001 probablement la majoritària en el mercat fins a eIDAS2 norma sobre certificació digital, la més minoritària, han publicat noves versions. En aquest article pretenem fer un ràpid repàs a la situació en general i als terminis que ens marquen el futur.
ISO27001 Sistema de Gestió de seguretat de la Informació versió 2022
Norma ISO d'àmplia implantació en tota mena d'organitzacions amb necessitats de seguretat.
Principals canvis:
- Inclusió del punt 6.3 de gestió del canvi (enfocament estratègic del mateix).
- Reducció dels controls de 114 a 93.
- 11 nous controls basats en serveis en el núvol, intel·ligència de les amenaces, millora del monitoratge (seguretat física i digital), gestió de la configuració, millora de xarxes (filtrat, emmascarament), …
Termini: El termini establert per a aquesta norma publicada a 2022 és per a octubre de 2025. Per això el pròxim octubre deixaran d'emetre's certificats amb la versió anterior i serà necessària la transició abans de l'esmentada data.
TISAX (VDA-ISA) Information Security Assessment v6.0
Norma de Seguretat de la Informació que abasta al sector de l'automoció. Cada vegada més els principals fabricants exigeixen aquesta norma als seus proveïdors. Publicada aquesta nova versió a l'octubre de 2022.
Principals canvis:
- Increment de controls, passem a 45 en la pestanya de seguretat de la informació.
- Canvi en el sistema d'etiquetes, als paràmetres de seguretat alta o molt alta s'afegeixen els paràmetres de confidencialitat i disponibilitat.
- 6 nous controls basats en gestió de programari, incidents, crisis, continuïtat i còpies de seguretat.
Termini: El termini ja va expirar l'1 d'abril del present any. Pel que tots els expedients nous i renovacions ja s'executaran en la versió 6.0. Així que ja no és possible certificar en versió 5.1 si no s'ha efectuada el kick off en data anterior.
(ENS) Esquema Nacional de Seguritat
A maig de 2022 es va publicar el Reial decret 311/2022 que es regula l'Esquema Nacional de Seguretat. Els requisits i controls establerts afecten els proveïdors de serveis i productes de l'administració pública que així ho requereixi per a garantir la seguretat del subministrament.
Principals canvis:
- S'introdueix el principi de vigilància contínua (Prevenció, detecció, resposta i conservació).
- Se substitueix la seguretat per defecte de mínim privilegi.
- Es mantenen els 4 controls de marc organitzatiu.
- S'incrementa en 2 controls el marc operacional.
- Reducció de les mesures de protecció agrupant-les en 36.
Termini: Va entrar en vigor del 3 de maig de 2022 i establia un termini de vint-i-quatre mesos perquè els sistemes d'informació s'adeqüin al nou ENS. Per això, aquest 4 de maig vencerà el termini per a poder realitzar la transició.
NIS2 Network Information Service
Requisit de seguretat per a les organitzacions de telecomunicacions que afectin sectors altament crítics (energia, banca. Salut, administració pública, …) o crítics (gestió de residus, alimentació, dispositius mèdics,…).
Principals canvis:
- Abast ampliat a entitats amb més de 250 treballadors, facturació anual de 50 milions o balanç de 43.
- S'incrementen les sancions.
- Reducció de terminis de comunicació d'incidents.
- Obligació de comunicació al consell d'administració.
Termini: Publicada al desembre de 2022 la Directiva (UE) 2022/2555, marca com a data límit per a la seva conversió en llei nacional el 17 d'octubre del present any. Pel que deixa en mans de cada estat europeu els terminis de compliment. Haurem d'estar atents a la seva emissió.
eIDAS2 Electronic Identification Authentication and trust Services
Reglament Europeu obligatori per als prestadors de serveis de confiança. Des de la publicació de eIDAS, és un requisit obligatori per a totes aquelles organitzacions que emeten solucions d'identitat digital (certificats digitals, segells de temps, …).
Principals canvis:
- Increment de la mitigació de riscos cibernètics.
- Gestió de wallets.
- Ús transfronterer d'identitats electròniques.
- Segmentació de les dades d'identitat en funció de la necessitat.
Termini: En procés de votació. Durant febrer s'espera la seva publicació durant el primer semestre de l'any. I establirà que la data límit per als proveïdors de serveis de confiança sigui setembre de 2026.
A més, a tot això els hem de sumar altres estàndards de seguretat com ara.
A la norma
ISO21434 de ciberseguretat en productes d'automoció publicada en 2021, recentment li hem d'afegir la resposta de TISAX amb la publicació de VCS a l'octubre de 2023, per a donar compliment a la UN-R155 Certificate of compliance.
I el
Reglament Europeu 2024/482, que desplegarà una certificació de ciberseguretat (EUCC) per a productes de tecnologies de la informació i la comunicació, basat en criteris comuns per a tota la UE, aplicable a partir del 27 de febrer del 2025. Aquests criteris comuns estaran basats en la norma ISO 15408 «Seguretat de la informació, ciberseguretat i protecció de la privacitat. Criteris d'avaluació per a la seguretat de les tecnologies de la informació».
A causa de la recent actualització de la norma ISO27001 Sistema de Gestió de seguretat de la informació i ISO27002 Controls de seguretat, en breu es procedirà a l'actualització de l'
ISO27701 de privacitat de les persones.
És per això que ens esperen uns mesos / anys bastant entretinguts.
Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
Soci fundador de TotalRisk
Leer artículo en castellano