El propósito de este artículo es mostrar las principales características de la nueva norma ISO 27.002, las cuales han podido ser analizadas desde el Draft International Standard (DIS) publicado recientemente en noviembre.

El articulo está estructurado para simplificar la revisión del lector de los principales cambios establecidos, considerando algunos elementos propios de contextos para facilitar su comprensión.

1.- ISO/IEC DIS 27.002 – Draft International Estándar

El 26 de noviembre del 2020 ha sido publicado el Draft International Standard (DIS) de la norma ISO 27.002, técnicamente definida como ISO/IEC DIS 27.002, la cual viene a actualizar el estándar ISO 27.002:2013.

En términos simples, con este borrador comienzan las etapas de revisión final establecidas en el ciclo de revisión de los estándares ISO, lo cual permite estimar que la publicación final del estándar será realizada en el tercer trimestre del 2021.

En la etapa actual del estándar, etapa de consulta (etapa 40), considera la duración de 12 semanas, cuyo comienzo esta establecido del 28 de enero del 2021, finalizando el 22 de abril del 2021. Si el borrador es aprobado, se transforma en borrador final (FDIS) debiendo este borrador final pasar a un etapa de consulta (etapa 50), la cual tiene una duración de 8 semanas, lo cual en caso de aprobarse pasaría a la etapa de revisión (etapa 60), la cual dura 20 semanas, transformándose de esta forma en el estándar final. Considerando los tiempo, es muy probable que entre Noviembre y Diciembre del 2021 ya este publicada la nueva ISO/IEC 27.002:2021.

A continuación se presenta el estado actual de la norma, el cual se encuentra disponible en iso.org, al igual que una descripción del ciclo de desarrollo del estándar.

2.- RELEVANCIA DE LA ISO 27.002

En el contexto de los estándares y buenas prácticas de seguridad de la información y la ciberseguridad, sin duda que las normas establecidas en la serie ISO 27.000 son las de mayor relevancia en la materia, siendo la ISO 27.001, norma que define los requisitos del Sistema de Gestión de Seguridad de la Información, y la norma ISO 27.002 la que establece los lineamientos de Implementación de los controles de seguridad, las más relevantes de la serie.

La relevancia de esta serie de normas es que estas pueden ser extensibles a diversos contextos de relevancia en la seguridad de la información desde el modelo establecidos en ISO 27.001 y los controles de ISO 27.002, es así como por ejemplo para la aplicación de controles de seguridad para servicios en la nube se puede emplear la ISO 27.017, para controles especifico de ciberseguridad se puede emplear la ISO 27.032, para la implementación del proceso de gestión de incidentes se puede emplear la ISO 27.035 o para la implementación de un sistemas de gestión de privacidad de la información se puede emplear la ISO 27.701, siendo algunos de los ejemplos más representativos.

De manera adicional y para considerar la relevancia de la norma, prácticamente todos los modelos o estándares de referencia poseen se basan y/o poseen un alineamiento con los controles de ISO 27.002, como por ejemplo el Framework de Ciberseguridad del NIST, el cual para su implementación se basa principalmente en ISO 27.001 e ISO 27.002, COBIT 2019, el modelo de controles del CIS, entre otros.

Dada la relevancia de la norma y su importante relación con otros modelos, los cambios que esta plantea deben ser seguidos de cerca por aquellos que tengan un uso intensivo de esta en su quehacer profesional, así como para considerar los potenciales beneficios de esta nueva versión.

3.- PRINCIPALES CAMBIOS

La nueva versión trae consigo importantes cambios, siendo los más representativos:

  • El cambio de nombre
  • Incorporación de nuevos términos y definiciones
  • La nueva estructura de temas de seguridad de la información
  • La nueva estructura de atributos de los controles
  • Cambios en controles desde la versión ISO 27.002:2013

Dichos cambios serán a continuación abordados en mayor detalle.

4.- EL CAMBIO EN EL NOMBRE

La primera gran novedad con la norma es que esta se encuentra establecida en un Comite especifico para la materia, el Comité de ISO/IEC JTC 1/SC 27 denominado como “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad”, el cual estará en el prefijo en desmedro del que actualmente posee, el cual esta en el contexto de las Tecnologías de Información, específicamente en técnicas de seguridad. Producto de lo anterior el prefijo establecido en la norma cambiará.

El nombre de la norma también cambia, pasándose de llamar “Código de Práctica para controles de seguridad de la información” a llamar simplemente como “Controles de Seguridad de la Información”. En la figura adjunta se presenta el detalle del cambio.

5.- INCORPORACIÓN DE NUEVOS TÉRMINOS Y DEFINICIONES

Al igual que otras normas ISO, en la sección número 3 establece los términos y definiciones, los cuales como en toda la serie de normas ISO de seguridad de la información, ciberseguridad y protección de la privacidad, se basan a la misma ISO 27.000 (Visión de conjunto y vocabulario), la cual define el vocabulario para sus definiciones complementando aquellas no definida en esta norma.

En total define 37 términos, entre los cuales se incluyen algunos generales y ya definidos en ISO 27.000 tales como: control de acceso, ataque, autenticación, autenticidad, control (ISO 31.000), entidad, instalación de procesamiento de información, evento de seguridad de la información (ISO 27.035), incidente de seguridad de la información (ISO 27.035), gestión de incidentes de seguridad de la información (ISO 27.035), sistema de información, parte interesada, no repudio, política, procedimiento, proceso, registro, fiabilidad, amenaza y vulnerabilidad.

Los nuevos términos que define son: Cadena de custodia (IS 27.050), Información confidencial, disrupción (ISO 22.301), endpoint, brecha de seguridad de la información, personal, información de identificación personal (PII) (ISO 29.100), PII principal (ISO 29.100), procesador de PII (ISO 29.100), evaluación del impacto de la privacidad (ISO 29.134), punto objetivo de recuperación (RPO) (ISO 27.031), tiempo objetivo de recuperación (RTO) (ISO 27.031), regla, información sensitiva, política especifica y usuario.

En total incorpora 16 nuevos términos, buscando establecer un alcance más amplio en elementos propios de la ciberseguridad, la gestión de evidencia electrónica, la gestión de PII y privacidad, la gestión de incidentes y la gestión de la continuidad del negocio.

6.- NUEVA ESTRUCTURA DE TEMAS Y CONTROLES

Un cambio radical con respecto a la versión anterior es la restructuración de los 14 dominios de controles definidos en ISO 27.002:2013 en torno a 4 grandes temas:

  • Controles Organizacionales (37 controles)
  • Controles de Personas (8 controles)
  • Controles Físicos (14 controles)
  • Controles Tecnológicos (34 controles)

 Esta clasificación de funciones es mucho más simple que la provista por la versión 2013 de la norma, la cual se encuentra mucho más orientada al contexto de aplicación del control (organizacional, personas, físicos y tecnológicos).

En la versión 2013, en cada dominio se establecía una serie de objetivos de control (34) y luego los controles de seguridad de la información (114), en esta nueva versión, no existe la definición de objetivos de control (se elimina), definiendo en total la nueva norma 93 controles. Sin embargo, como posteriormente se explicará, la norma incluye un atributo que permite la clasificación especifica del control, en la cual cada control es clasificado en uno o más de las 15 categorías establecidas (ver apartado 7 del articulo).

En lo personal, me parece un cambio bastante positivo, el establecimiento de controles de acuerdo a su contexto de aplicación deja mucho más en evidencia las responsabilidades del personal del negocio para la gestión de la seguridad de la información, ciberseguridad y protección de la privacidad, las cuales se establecen en torno a los 37 controles organizativos, de igual forma que la definición de controles de carácter más técnico relacionados a las tecnologías, establecidos en los 34 controles respectivos del tema.

La eliminación de los objetivos de control también es un aspecto positivo, dado que estos se encuentran intrínsecamente definidos en el control mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy poco valor.

7.- LA NUEVA ESTRUCTURA DE ATRIBUTOS DE LOS CONTROLES

Uno de los aspectos relevantes que proporciona la norma para cada control son cinco atributos, los cuales establecen subclasificaciones del atributo que permiten caracterizar al control, a modo de ejemplo se presentan los primeros tres controles del tema de controles organizacionales definidos en la nueva versión de la norma.

Los atributos definidos en detalle son:

  • Tipo de Control. Este atributo posibilita identificar cuando o como el control impacta en la gestión de riesgos con respecto a la ocurrencia de un incidente de seguridad de la información. Los posible valores son: #Preventivo (el control actúa antes de que la amenaza actué), # Detectivo (el control actúa cuando la amenaza ocurre) y #Correctivo (el control actúa después de que la amenaza ocurre).
  • Propiedades de Seguridad de la Información. Este atributo proporciona información sobre como el control contribuyen en la preservación de la triada de la seguridad de la información. Los posibles valores son: #Confidencialidad, #Integridad y #Disponibilidad
  • Conceptos de Ciberseguridad. Este atributo puede ser empleado cuando la organización busca la implementación de un Sistema de Gestión de Seguridad de la Información o un Framework de Ciberseguridad como el del NIST, el cual se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27.101. Los posibles valores que toma el atributo son: #Identificar, #Proteger, #Detectar, #Responder y #Recuperar.
  • Capacidades operacionales. Este atributo puede ser usado cuando la organización requiere una clasificación de controles desde una perspectiva práctica, por ejemplo, cuando la organización quiere asignar responsabilidades o establecer lineamientos de implementación. Los posibles valores que puede tomar este atributo: #Gobernanza, #Gestión de Activos, #Protección de la Información, #Segurida en los Recursos Humanos, #Seguridad Física, #Seguridad en sistemas y Redes, #Seguridad en Aplicaciones, #Seguridad en la Configuración, #Gestión de Accesos e Identidades, #Gestión de Amenazas y Vulnerabilidades, #Continuidad, #Seguridad en Relaciones con Proveedores, #Legal y Cumplimiento, #Gestión de Eventos de Seguridad de la Información, #Aseguramiento de la Seguridad.
  • Dominios de Seguridad. Este atributo puede ser usado en el caso que la organización quiera clasificar sus controles desde una perspectiva del campo de aplicación de la seguridad de la información y ciberseguridad, su expertise, servicios y productos relacionados. Los posibles valores que toma el atributo son: #Gobernanza y ecosistema, #Protección, #Defensa y #Resiliencia.

En el anexo A.1 de la norma se presenta el detalle con todos los controles y su clasificación de atributos, tal como se presento al comienzo de este apartado.

Sin duda que estos atributos proveen de información relevante para la gestión de los controles de seguridad de la información, ciberseguridad y protección de la privacidad, los cuales se analizarán caso a caso:

  • El Tipo de Control aportará mucho a fortalecer el control interno organizacional, por ejemplo para identificar controles de diversa naturaleza para la gestión de riesgos de alta criticidad (por ejemplo incorporando controles preventivos, detectivos y correctivos).
  • En el caso de las Propiedades de Seguridad de la Información, la comprensión del atributo ayudará mucho a gestión atributos de similares características, tener una visión agregada del atributo posibilita una gestión más efectiva de los controles. así como identificar las potenciales brechas.
  • En relación a los Conceptos de Ciberseguridad, son un importante aporte para la implementación de un SGSI o el NIST CSF, ya que permitirá facilitar su alineamiento en torno a las principales funciones del modelo.
  • Con respecto a las Capacidades Organizacionales, es una nueva forma de reordenar los controles de manera similar a lo establecido en la ISO 27.002:2013, pero tal como se señalaba es una forma relevante de clasificar los controles para el establecimiento de responsabilidades a un área o grupo de personas empleando este atributo.
  • Por último, el atributo de Dominios de Seguridad, aporta una interesante perspectiva para definir funciones más especificas y de alto nivel en la gestión de la ciberseguridad, siendo en un contexto de uso general quizás el que menos aporta, puesto que es aplicable principalmente a grandes organizaciones, no obstante para aquellas que tengan definidas estas funciones el atributo aportará de manera significativa en la clasificación.

Sin duda que la definición de los atributos es un importante aporte en la definición de la nueva normativa, el contexto de uso es muy amplio de cada uno de ellos, posibilitando el desarrollo de diversos mecanismos de gestión de los controles que fortalecerán el control interno, el plan de tratamiento de riesgos, la evaluación de controles, la asignación de responsabilidades, la auditoría, entre otros.

A nivel de definición de los controles específicamente, estos no sufren mayores cambios con respecto a la versión 2013, estando definidos de la siguiente forma: Control, Propósito, Directrices y Otra Información (Sólo en caso de ser necesaria)

8.- CAMBIOS EN CONTROLES DESDE LA ISO 27.002:2013

Más allá de los cambios de dominio o temas y la definición de los atributos para cada control, el desarrollo de la nueva norma contempla la reducción de controles pasando de los 114 existentes en la versión 2013 a 93 controles en la nueva versión.

Nuevos Controles

En total se definen 11 nuevos controles, los cuales corresponden a:

  • 5.7 Inteligencia de Amenazas
  • 5.23 Seguridad de la información para el uso de servicios en la nube
  • 5.30 Preparación de las TIC para la continuidad del negocio
  • 7.4 Monitoreo de la seguridad física
  • 8.9 Gestión de la configuración
  • 8.10 Eliminación de la información
  • 8.11 Enmascaramiento de datos
  • 8.12 Prevención de la fuga de datos
  • 8.16 Monitoreo de actividades
  • 8.22 Filtrado Web
  • 8.28 Codificación Segura

Controles que se fusionan con otros controles desde la ISO 27.002.2013

Diversos controles fueron reordenados y reorganizados en otros controles, generando nuevos controles provenientes desde la ISO 27.002:2013.

  • 5.1.1(Políticas para la seguridad de la información) y 5.1.2 (Revisión de las políticas para la seguridad de la información) se fusionan en el control 5.1 de políticas de seguridad de la información
  • 6.2.1(Política de dispositivos móviles) y 11.2.8 (Equipo de usuario desatendido) se funcionan en el control 8.1 Dispositivos de punto final del usuario.
  • 8.1.1 (Inventario de activos) y 8.1.2 (Propiedad de los activos) se fusionan en el control 5.9 de Inventario de información y otros activos asociados.
  • 8.1.3 (Uso aceptable de los activos) y 8.2.3 (Manipulado de la información) se fusionan en el control 5.10 Uso aceptable de la información y activos asociados.
  • 8.3.1(Gestión de soportes extraíbles), 8.3.2 (Eliminación de soportes) y 8.3.3 (Soportes físicos en tránsito) se fusionan en el control 7.10 Medios de Almacenamiento.
  • 9.1.1(Política de control de acceso) y 9.1.2(Acceso a las redes y a los servicios de red) se fusionan en el control 5.15 Control de Accesos.
  • 9.2.4 (Gestión de la información secreta de autenticación de los usuarios), 9.3.1 (Uso de la información secreta de autenticación) y 9.4.3 (Restricción del acceso a la información) se fusionan en el control 5.17 de Autenticación de información.
  • 9.2.2 (Provisión de acceso de usuario) y 9.2.5 (Revisión de los derechos de acceso de usuario), 9.2.6(Retirada o reasignación de los derechos de acceso) se fusionan en el control 5.18 de Derechos de Acceso
  • 10.1.1(Política de uso de los controles criptográficos) y 10.1.2 (Gestión de claves)se fusionan en el control 8.24 Uso de Criptografía.
  • 11.1.2 (Controles físicos de entrada) y 11.1.6 (Áreas de carga y descarga) se fusionan en el control 7.2 Controles de entrada física.
  • 12.1.4(Separación de los recursos de desarrollo, prueba y operación) y 14.2.6 (Entorno de desarrollo seguro) se fusionan en el control 8.31 Separación de ambientes de desarrollo, prueba y producción.
  • 12.4.1(Registro de eventos), 12.4.2(Protección de la información del registro) y 12.4.3 (Registros de administración y operación) se fusionan en el control 8.15 Inicio de Sesión
  • 12.5.1(Instalación del software en explotación) y 12.6.2 (Restricción en la instalación de software) se fusionan en el control 8.19 Instalación de software en sistemas operativos
  • 12.6.1(Gestión de las vulnerabilidades técnicas) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan en el control 8.8 Gestión de vulnerabilidades técnicas.
  • 12.1.2 (Gestión de cambios) , 14.2.2 (Procedimiento de control de cambios en sistemas), 14.2.3 (Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo) y 14.2.4 (Restricciones a los cambios en los paquetes de software)se fusionan en el control 8.32 Gestión del Cambio
  • 13.2.1 (Políticas y procedimientos de intercambio de información), 13.2.2 (Acuerdos de intercambio de información), 13.2.3 (Mensajería electrónica) se fusionan en el control 5.14 Transferencia de información
  • 14.1.2 (Asegurar los servicios de aplicaciones en redes públicas) y 14.1.3(Protección de las transacciones de servicios de aplicaciones) se fusionan en el control 8.26 Requerimientos de seguridad en aplicaciones
  • 14.2.8 (Pruebas funcionales de seguridad de sistemas) y 14.2.9 (Pruebas de aceptación de sistemas) se fusionan en el control 8.29 de Pruebas de seguridad en el desarrollo y aceptación.
  • 15.2.1(Control y revisión de la provisión de servicios del proveedor) y 15.2.2 (Gestión de cambios en la provisión del servicio del proveedor) se fusionan en el control 5.22 Monitoreo, revisión y gestión del cambio con proveedores de servicios.
  • 16.1.2 (Notificación de los eventos de seguridad de la información) y 16.1.3(Notificación de puntos débiles de la seguridad) se fusionan en el control 6.8 Reporte de eventos de seguridad de la información.
  • 17.1.1 (Planificación de la continuidad de la seguridad de la información), 17.1.2 (Implementar la continuidad de la seguridad de la información) y 17.1.3 (Verificación, revisión y evaluación de la continuidad de la seguridad de la información) se fusionan en el control 5.29 Disrupción durante la seguridad de la información.
  • 18.1.1 (Identificación de la legislación aplicable y de los requisitos contractuales) y 18.1.5 (Regulación de los controles criptográficos) se fusionan en el control 5.31 Identificación de requerimientos legales, estatutarios, regulatorios y contractuales.
  • 18.2.2 (Cumplimiento de las políticas y normas de seguridad) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan en el control 5.36 Cumplimiento con políticas y estándares para la seguridad de la información

Controles que se eliminan desde la ISO 27.002.2013

Solo un control fue eliminado desde la versión 2013, el cual corresponde al 11.2.5 Retirada de materiales propiedad de la empresa

9.- CONCLUSIONES

Para los que trabajamos en el cualquier contexto de la seguridad de la información y ciberseguridad el comprender las caracteristicas de la norma ISO 27.002 y su enfoque de controles nos permitirá conocer directrices importantes sobre como implementar los controles más relevantes en la materia, por tanto comprender los cambios que se están definiendo sin duda que debe ser considerada como un elemento de competencia mínima para aquellos que aprecien su debida diligencia y cuidado profesional.

La nuevas estructura de la norma es un importante paso para la simplificación y facilidad de uso de esta, teniendo importantes cambios, no solo en lo estructural, sino que incluso a nivel de lenguaje acercándose a temas más atingentes a la ciberseguridad actual.

La fusión y definición de controles es uno de los aspectos más relevantes, la incorporación de 11 nuevos controles y el reordenamiento de más de 54 controles para definir 23 controles nuevos nos permite contar con una norma con definiciones mucho más actualizadas, más alineada al contextos de ciberseguridad, protección de la privacidad y gestión de incidencias, y con una mayor simplicidad en controles de gestión de activos, control de acceso e identidades, seguridad física, seguridad en las operaciones y seguridad en el software, lo cual hace a la norma mucho más comprensible y aplicable.

Este un breve resumen de los cambios que provee la norma posteriormente realizaré un nuevo articulo abordando cambios más en detalle de los controles.

En el siguiente enlace puedes descargar la lista de controles de la norma y su relación con la versión 2013, así como los atributos de cada uno de los controles.

Enlaces de referencia:

Etapas y recursos para el desarrollo de estándares ISO. https://www.iso.org/stages-and-resources-for-standards-development.html

Estado actual de la ISO 27.002. https://www.iso.org/standard/75652.html