Actualización de Normas ISO de LRQA: Desarrollo de las necesidades específicas para cada sector en los sistemas de gestión de seguridad de la información

El manejo de los riesgos asociados a un ataque cibernético es una prioridad permanente para las organizaciones en todos los sectores. Con la cantidad de ataques denunciados y la escala de los ataques en aumento, la protección de la información crítica, incluyendo la de los clientes es una preocupación creciente.

Para ayudar a ofrecer una protección adaptada a los sectores industriales complejos, incluyendo la salud, las finanzas y el transporte, la Organización Internacional de Normalización (ISO) ha publicado la norma ISO/IEC 27009, Tecnología de la información - Técnicas de seguridad - aplicación específica para cada sector de la norma ISO/IEC 27001 - Requisitos, que proporciona orientación sobre la inclusión de requisitos y controles específicos para cada sector, además de los establecidos por la norma (SGSI) ISO/IEC 27001:2013 sobre Sistemas de Gestión de Seguridad de la Información.

Rob Acker, Director Técnico de Seguridad de la Información de LRQA, compartió sus opiniones acerca de la publicación de la nueva norma: “La publicación de la norma ISO/IEC 27009 representa una etapa importante en el camino hacia la optimización y racionalización en todos los sectores de la industria. Con muchos requisitos complejos en estos diferentes sectores, la norma ISO/IEC 27009 ayudará a asegurar que todos ellos puedan ser tenidos en cuenta manteniendo al mismo tiempo la sólida protección que ofrece la norma ISO/IEC 27001 en salvaguarda de las organizaciones, sus SGSI y sus clientes”.

La norma ISO/IEC 27009 proporciona un marco de trabajo dentro del cual la norma ISO/IEC 27001 o la ISO/IEC 27002 se pueden mejorar o refinar para incluir los requisitos específicos de cada sector o en referencia a cuáles requisitos pueden ser interpretadas para garantizar su aplicación coherente y comúnmente entendida. Este enfoque se basará en las normas existentes específicas de los sectores, de la tecnología o del riesgo, tales como la ISO/IEC 27011 (telecomunicaciones), la ISO/IEC 27017 (computación en la nube) o la ISO/IEC 27032 (seguridad cibernética) minimizando el riesgo de duplicación o de confusión. 

Para aquellos que deseen seguir utilizando sólo el núcleo de la especificación ISO/IEC 27002 como un control de su cadena de suministro, este marco de trabajo también proporciona la seguridad de que la inclusión de normas específicas de cada sector no reduce la eficacia de los requisitos de base ya que el enfoque está diseñado para evitar la eliminación o cualquier otro modo de reducir la validez de esos controles. 

Con todas las normas ISO significativas que se están revisando, LRQA está a la vanguardia de la comunicación de los cambios. Ofrecemos una gama de servicios de evaluación así como cursos de formación públicos y en la empresa, todo ello encaminado a ayudar a garantizar que las organizaciones de todo el mundo tengan una suave transición a las nuevas normas.

Para obtener más información acerca de las revisiones, envíe un correo electrónico a sudamerica@lrqa.com o visite www.lrqa.com/isostandardsupdate.