Se anuncia la publicación por parte de la ISO de la más reciente actualización a la norma ISO/IEC 27002:2022, que sirve como referencia de los controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la información (SGSI) con base en la norma de seguridad de la información ISO/IEC 27001.
La pandemia aceleró muchos avances tecnológicos que elevaron riesgos y amenazas: seguridad de la información, Big Data, Inteligencia Artificial, IoT, que han puesto al centro de las preocupaciones del principal activo de las organizaciones: la seguridad de datos.
IDC proyecta que 52% de las compañías globales para 2023 impactarán en el PIB global de manera digital. Esto implica que las probabilidades de sufrir brechas de seguridad de datos podrían incrementarse hasta un 25%. A su vez, Gartner proyecta que, tras la pandemia, las empresas gastarán en seguridad en todo el mundo, 170.4 mil millones de dólares en 2022.
México es el 2º país en LATAM con más ataques cibernéticos, después de Brasil. Google bloqueó en 2020 más de 18 millones de correos electrónicos de phisihing y malware relacionados al Covid-19, ¡cada día!
La norma ISO 27002:2022 busca responder a los retos que representan dichas amenazas en las diversas áreas del negocio: temas físicos, de tecnología, personas y naturaleza organizacional o de gobierno. Son 11 nuevos controles que reflejan la evolución de las tecnologías y las prácticas industriales, incluida la inteligencia de amenazas, seguridad de la información para el uso de servicios en la nube y prevención de fugas de datos.
“Se trata de responder a muchas necesidades actuales, que con la pandemia evidenciaron las posibles rupturas o carencias de control, como, por ejemplo, en temas como seguridad en la nube”, afirmó el auditor e instructor de BSI Grup, Leonardo García.
Los controles de la actualización están etiquetados como preventivos, detectivos o correctivos, y buscan ordenar, filtrar la información y “que sea más fácil asignar roles, funciones y acciones que deban dar seguimiento en la protección de la información”, mencionó el especialista. Comparados con la norma anterior, los controles que integran esta norma se redujeron de 114 a 93 controles, divididos en los siguientes temas: 8 relacionados al personal, 14 para objetos físicos de los cuales 1 es nuevo, 34 para tecnología con 7 nuevos, y 37 para aspectos organizacionales con 3 controles nuevos.
Con la reactivación en las empresas, se observará cuáles superarán los retos en materia de seguridad de la información, de resiliencia organizacional, continuidad de negocio, recuperación de desastres, pero seguramente serán aquellas que ya hayan invertido mucho en el tema de normas, procesos, tecnología y automatización.