Seguritecnia 493
/ Enero-Febrero 2022 192 Opinión H oy en día es difícil ima- ginarnos un mundo sin Internet. Desde compras o reservas, hasta el ocio y el trabajo, pasando por operaciones banca- rias, nuestro mundo está conectado en todos los aspectos, y estos además son de lo más diversos. Con el crecimiento exponencial de las operaciones en la Red, la ciberseguridad se ha convertido en un requisito indispensable y al alza. En ese sentido, las normativas ISO de calidad y los estándares preestablecidos han sido siempre un proceso fundamen- tal para el ámbito empresarial. Vive a caballo entre la concienciación de los empleados y las buenas prácticas prees- tablecidas por una consultoría e imple- mentadas y establecidas por la propia organización. Como bien sabrá el lector, estamos hablando especialmente de la certificación –tan querida para todos– ISO 27001. Pues bien, este año vie- ne cargado de nuevos retos y, sin duda, uno de los más importantes para el ámbito empresarial será la ISO 27002. Los controles de la norma ISO 27002 tienen la misma denomina- ción que los indicadores de la ISO 27001. Sin embargo, la diferencia radica en el nivel de detalle realiza- do en la primera, al ser un proceso extenso con explicación lógica de los sistemas on premise (hardware y software) y a su vez muy veraz. La diferencia está en que la ISO 27002 distingue entre los contro- les que son aplicables a una orga- nización determinada y los que no lo son, mientras que la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para iden- tificar si es necesario disminuirlos y, en caso de ser así, determinar hasta qué punto deben aplicarse. Las preguntas que podemos hacernos son: ¿por qué existen ambas normas de forma separada?, ¿por qué no han sido integradas utilizando los aspectos positi- vos de cada una? Pues la respuesta es simple, por utilidad. Si fuera una única norma, sería demasiado compleja y ex- tensa como para que fuera práctica. Dentro del panorama tecnológico y de la información contrastable de la que ya disponemos (y no solo por organismos oficiales sino por toda la red…), el te- letrabajo vino para quedarse y ninguna organización es consciente de los altí- simos riesgos e ingentes cantidades de dinero que les puede costar no te- ner una auditoría personalizada de la ISO 27002. ¿Datos a salvo? Siempre damos por hecho que nues- tros datos están bien guardados, a salvo y a buen recaudo; pero si un usuario entra en la red local de su organización mediante VPN… po- demos tener un problema grave, por no decir un problemón. Muchos tra- bajadores, por desconocimiento de los riesgos que asumen, entran en periódicos digitales a diario desde el ordenador corporativo, a sus cuen- tas bancarias, realizan compras rápi- das en cualquier plataforma de ven- ta online, etcétera. El 85 por ciento ISO 27002 y ciberseguridad en la empresa: del control a la formación del usuario Antonio Bernabé López C hief S ecurity O fficer de U nion S ecurity
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1