Implementación del marco de ciberseguridad ISO 27032

Ciberataques a organizaciones por brechas de ciberseguridad a menudo son noticia; y este tipo de publicidad negativa puede costar a una empresa más en términos de reputación dañada y negocios perdidos, que tomar medidas preventivas para mitigar las amenazas cibernéticas.

Por lo que no es de extrañar que en una encuesta reciente del Foro Económico Mundial, se  dijera que los ciberataques son una de las principales preocupaciones entre los directivos de los países económicos desarrollados.

Una medida clave del éxito de cualquier empresa reside en el éxito con el que identifica y mitiga las posibles amenazas a su negocio. Por ello, un plan de ciberseguridad eficaz debe ocupar un lugar destacado en los esfuerzos generales de GRC(Gobierno Riesgo y Cumplimiento) en una empresa.  

La falta de una gestión eficaz de los riesgos y de la ciberseguridad puede afectar la confianza de los clientes, reducir los márgenes de beneficios o rentabilidad y, en última instancia, conducir al fracaso de la empresa.

La importancia cada vez mayor de la tecnología en el lugar de trabajo requiere que muchas empresas evalúen el riesgo de forma continua para prevenir los ciberataques y garantizar el cumplimiento de un número cada vez mayor de normativas gubernamentales e industriales. 

A nivel mundial, se calcula que las empresas gastarán un trillón de dólares sólo en los próximos cinco años en ciberseguridad y en el ámbito más amplio del riesgo de la seguridad de la información.

ISO 27032 y ciberseguridad

Resulta alarmante que la lista de amenazas a la seguridad de la información siga creciendo al ritmo del avance de la tecnología, ya que los ciberdelincuentes encuentran nuevas formas de perjudicar a las empresas, las organizaciones gubernamentales y los particulares. 

Las amenazas pueden ser planteadas internamente por empleados deshonestos y externamente por atacantes que buscan robar información valiosa, como números de tarjetas de crédito e información personal para cometer fraudes o suplantaciones de identidad.

Ante los desafíos actuales en ciberseguridad surge la norma ISO 27032; que define las directrices en este ámbito y se centra en dos áreas: 

1. Por un lado, en cubrir aspectos de ciberseguridad no cubiertos por versiones anteriores de las normas de seguridad.
2. Por otro lado, promover la colaboración entre los agentes como CyberSecurity Framework (CSF) y el Marco de Ciberseguridad NITS.

La norma ISO 27032 pretende asegurar la seguridad de la información en los intercambios en la Red, ofreciendo el uso de buenas prácticas en esta materia y enfocándose primordialmente en la ciberseguridad, para dar mayores garantías a las organizaciones.

Se trata de un estándar que garantiza directrices de seguridad que, de acuerdo con la Organización Internacional de Normalización (ISO):

"Proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet. La norma facilita la colaboración segura y fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede ayudar a prepararse, detectar, monitorizar y responder a los ataques".

Asimismo, la organización espera que ISO/IEC 27032 permita luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado. En concreto, la ISO 27032 proporciona un marco seguro para:

• El intercambio de información.
• El manejo de incidentes.
• La coordinación para hacer más seguros los procesos.

Implementación 

La norma ISO 27032 ha sido desarrollada por el comité técnico de ISO, y los interesados en conseguir este estándar pueden hacerlo a través de los Institutos Nacionales de ISO en los distintos países o en la secretaría central de la organización.

Las cuatros ejes o focos de trabajo más importantes en las que se centra la norma son las siguientes:

1. Seguridad de la información.
2. Seguridad de las redes.
3. Seguridad en internet.
4. Protección de las infraestructuras críticas para la información.

El marco de ciberseguridad que se desarrolla deberá abordar la gestión de riesgos en 4 áreas:

1. Prevención. Se basa en la implantación de medidas y controles que limitan y contienen los impactos de posibles eventos de ciberseguridad.
2. Identificación y evaluación. Una vez identificadas y evaluadas las posibles amenazas, se implementan controles destinados a la gestión de la seguridad y el monitoreo de eventos de seguridad con el fin de detectar oportunamente los riesgos.
3. Remediación. Consta de acciones de mitigación contra amenazas, una vez estas se hayan materializado.
4. Recuperación. Acciones para restaurar los sistemas y servicios relacionados con el ciberespacio, y se definen procedimientos para reducir la probabilidad de ocurrencia de estos incidentes.

Seguido de lo anterior es indispensable desarrollar también una metodología interna para la implementación de la norma. Para dicho propósito, es recomendable dividir en al menos cuatro fases este proceso:

1. Entendimiento de la organización.
2. Análisis de Riesgos.
3. Plan de Acción.
4. Implementación de controles.

Hay que tener en cuenta que la ISO 27032 pretende obligar a quien la implemente, a ser proactivo en las medidas de seguridad, con énfasis importante en la prevención en los procesos que hacen uso del ciberespacio.

Para lograr una implementación eficaz es preciso hacer uso de herramientas tecnológicas que permitan agilizar, integrar y optimizar las tareas, procedimientos, organización y procesos que involucran cada una de las fases de implementación del marco de seguridad de la norma.

Para mantener tu negocio actualizado sobre normativas y regulaciones en ciberseguridad, ponemos a tu disposición un estudio sobre las tendencias en cumplimiento y gestión de riesgos empresariales. ¡Es gratuita y puedes descargarla haciendo clic en la imagen a continuación!