En la era digital, la ciberseguridad y la protección de la privacidad se han vuelto imprescindibles para todas las organizaciones. La salvaguarda de la información y la prevención de incidentes informáticos son fundamentales para garantizar la confidencialidad e integridad de los datos sensibles. En este contexto, las normas UNE-ISO/IEC 27001 y 27002 constituyen un marco crucial. En Gesprodat, creemos que es imprescindible conocerlas.
¿Qué son las normas UNE-ISO/IEC 27001 y UNE-EN ISO/IEC 27002?
La norma UNE-ISO/IEC 27001 es un estándar internacional que establece los requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI). Lo publicó la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005. Proporciona una metodología sólida y estructurada para la gestión y la protección de la privacidad.
Sus principales características son las siguientes:
- Análisis de riesgos: Implica identificar y evaluar, de manera previa, las amenazas y vulnerabilidades que puedan afectar a la integridad y seguridad de los datos que se tengan bajo custodia.
- Planificación y diseño del SGSI: La norma establece los requisitos para crearlo a medida a fin de adaptarlo a las necesidades y a las características de cada organización.
- Implementación de controles: Se establecen una serie de controles de seguridad que se deben aplicar para proteger la información de un modo efectivo.
- Evaluación y mejora continua: Promueve la realización periódica de auditorías internas y revisiones del sistema para cerciorarse de su eficacia y mejorarlo continuamente.
En cuanto a la norma UNE-EN ISO/IEC 27002, se trata de una guía de buenas prácticas para la gestión de la seguridad de la información. A diferencia de la ISO/IEC 27001, no es una norma de certificación en sí misma. Sin embargo, las organizaciones pueden utilizarla como referencia para definir y aplicar controles de seguridad adecuados en función de sus necesidades y contextos específicos.
Sus características más relevantes son:
- Listado de controles de seguridad organizados en categorías: Algunos de ellos son las políticas de seguridad, el control de acceso, etc.
- Adaptabilidad: Las recomendaciones y directrices son flexibles y pueden ser adaptadas a las necesidades específicas de cada organización.
- Marco de buenas prácticas de seguridad de la información.
Nuevos controles de ciberseguridad y protección de la privacidad
En 2022, ambas normas han experimentado importantes actualizaciones. Sus objetivos son reforzar y contextualizar el marco normativo a los nuevos tiempos y facilitar su integración con otros estándares internacionales, como ISO/IEC 9001, 14001 o 22301.
La razón es que la evolución constante de las tecnologías supone un incremento significativo de las amenazas cibernéticas y de las violaciones de seguridad. Como respuesta a estos desafíos, se han desarrollado nuevos controles de ciberseguridad avanzados y enfoques para asegurar la protección de la información personal.
Entre ellos, se incluyen la seguridad de la información en la nube, el filtrado web y la codificación segura. Otra de las herramientas es el inventario de la información y otros activos, que brinda eficiencia al SGSI.
En definitiva, la promoción de la ciberseguridad es esencial para salvaguardar la información y la privacidad ante posibles amenazas. En este sentido, las normas UNE-ISO/IEC 27001 y 27002 ofrecen un marco sólido y bien estructurado para implementar una gestión adecuada de la seguridad. También contribuyen a que las organizaciones prevengan y respondan de manera efectiva ante los ataques. Así, las empresas fortalecen su posición, generan confianza con sus clientes y cumplen con las normativas vigentes.
