Carátula del webinar.
18 de enero de 2023. Roger Sanz González, docente del Grado en Ingeniería Informática y el Máster en Ciberseguridad, ha sido el invitado al webinar ‘Las nuevas normas ISO 27001 e ISO 27002. Un nuevo horizonte en la gestión integrada de la seguridad de la información, ciberseguridad y privacidad’ organizado por la Facultad de Ciencias y Tecnología de la Universidad Isabel I. En el webinar se analizó la evolución de las normas de los sistemas de gestión para la seguridad de la información (SGSI).
Amalia Orúe López, Directora del Grado en Ingeniería Informática y del Máster en Ciberseguridad ha presentado el webinar y la trayectoria profesional del docente. Roger Sanz González puso en valor los aspectos más importantes para la implantación de la norma en las organizaciones y la adecuación de los sistemas de gestión que fueron certificaciones en la norma anterior, la ISO 27001:2013.
“No ha habido un cambio sustancial en la nueva norma, pero estamos avanzando en las nuevas prácticas, con protecciones ante las amenazas que se producen en el entorno cibernético y los sistemas de gestión de la seguridad de la información”, explicó Roger Sanz. En este sentido, señaló cuál es el nuevo horizonte de ciberseguridad y privacidad integrados, destacando el contexto actual de las normas de gestión de la seguridad de la información, la ciberseguridad y la privacidad o los cambios fundamentales que se han producido para la adaptación de los Sistemas de Gestión de la Seguridad de la Información (SGSI) a las nuevas normas.
La visión centrada en la triada de la seguridad es insuficiente
Existen diversas normas relacionadas con la seguridad de la información pero, de manera práctica se suelen utilizar la ISO 27001 y la ISO 27002. “En la actualidad, la visión centrada en la triada de la seguridad de la información es insuficiente. Autenticidad, Trazabilidad, Criticidad para la operación, Confianza, Reputación y Privacidad son los elementos que también se deben cuidar”, explicó el docente.
La norma ISO 27002 agrupa los 114 controles anteriores a 93 y mejora la descripción de los objetivos en función de la experiencia al tiempo que adapta el marco de control y flexibilidad en la puesta en marcha. Los principales cambios están relacionados con las tendencias actuales como la inteligencia artificial, la inteligencia de amenazas y la nube, haciendo un énfasis mayor en el riesgo y su gestión, con un enfoque proactivo con respecto a la seguridad de la información, entre otras.
Amenazas en la nube
La 27002 incorpora 11 nuevos controles que se centran en las amenazas en la nube, como son la inteligencia de amenazas, la seguridad de la información en la nube, la continuidad del negocio, la seguridad física y su supervisión, la configuración de los elementos, la eliminación de la información, el cifrado de datos, la prevención de fuga de datos, el seguimiento y monitorización, el filtrado web y la codificación segura. “Existe una hibridez entre la infraestructura física y la infraestructura que está en la nube. Están proliferando más los servicios que las infraestructuras, pero eso va a cambiar radicalmente”, destacó.
“Dentro del panorama de riesgos, nos vamos a encontrar que las amenazas no son solo desde el ámbito de la usabilidad sino que, por ejemplo, una explotación de información relacionada con fuentes de datos tanto de entrada como de salida pueden provocar que datos para un proceso de inteligencia artificial acaben siendo un problema para la aplicación que se quiere proteger”, así señalaba el profesor Sanz González su reflexión sobre los programas de inteligencia artificial que utilizan datos para la toma de decisiones en tiempo real, donde se debe garantizar su integridad, veracidad y limpieza de sesgos.
Webinar completo.