ISO/IEC TS 27110:2021 un nuevo instrumento para las necesidades de Ciberseguridad

 

Publicada en febrero del 2021, la especificación técnica ISO/IEC TS 27110:2021 "Cybersecurity framework development guidelines" completa un conjunto de cuatro (4) nuevas normas que abordan la Ciberseguridad, iniciando en el 2018 con la publicación de la ISO/IEC 27103:2018 "CYBERSECURITY AND ISO AND IEC STANDARDS", en el 2019 con la ISO/IEC TS 27102:2019 "GUIDELINES FOR CYBER-INSURANCE" y en el 2020 con la ISO/IEC TS 27100:2020 "CYBERSECURITY — OVERVIEW AND CONCEPTS".

En este contexto, con ISO/IEC TS 27110:2021, ISO separa los aspectos de Ciberseguridad de la ISO/IEC 27032 (que en su nueva edición ya no es Ciberseguridad en especifico) y nos presenta un panorama actualizado y mejor enfocado en abordar los desafíos de la Ciberseguridad a nivel global.

La idea base es bastante simple, centrándose en los "Frameworks de Ciberseguridad" y en particular en los creadores de estos frameworks, de modo que los diversos stakeholders en Ciberseguridad (empresas, entidades, gobiernos, etc) puedan tener lineamientos que permitan alinear, integrar o hacer compatibles los frameworks de Ciberseguridad para trabajar de forma articulada y compatible en sus actividades (propias o de los usuarios de sus frameworks).

En un contexto en el cual las organizaciones están empezando a pensar que en materia de Ciberseguridad deberían adecuarse o utilizar un determinado framework de Ciberseguridad (de los múltiples que existen en el mercado), se deja de lado un aspecto importante, las necesidades cambiantes de cada organización que puede estar determinada por múltiples factores y necesidades, las cuales deberían ser aspectos determinantes para la selección o mejor aun, ser los insumos naturales para la elaboración de un framework propio (a la medida de las necesidades y de las capacidades y recursos).

Obviamente, si cada organización genera su propio framework, la diversidad de estos seria un problema para el mercado global, por ello la especificación técnica ISO/IEC TS 27110 nos presenta un conjunto de lineamientos para que el desarrollo de frameworks pueda mantener una compatibilidad (entre los que sean compatibles con ISO/IEC TS 27110) y de esta forma aporta a las necesidades de Ciberseguridad de manera amplia.

Con una estrecha vinculación con la ISO/IEC TS 21700 que actualiza terminología, la nueva ISO/IEC TS 27110 se centra de forma simple en clarificar los conceptos Identificar, Proteger, Detectar, Responder y Recuperar para estructurar y organizar las actividades de Ciberseguridad y seguridad de la información deseadas en un framework de Ciberseguridad.

Considero importante que para entender un poco mas sobre los alcances de estas nuevas normas, conozcamos el concepto de Ciberseguridad incluiod en la nueva ISO/IEC TS 27100:2020 el cual es:

"Ciberseguridad .- Salvaguardar a las personas, la sociedad, las organizaciones y las naciones de los ciber-riesgos

Nota 1 a la entrada: Salvaguardar significa mantener los ciber-riesgos a un nivel tolerable."

Como un dato adicional, indicar que durante su desarrollo, este proyecto tenia la numeración de ISO/IEC TS 27101 (para los que requieran buscar información previa a su publicación).

Sin duda alguna, esta nueva ISO/IEC TS 27110:2021 abre un importante ámbito de aplicación y es probable que en un futuro próximo, los principales frameworks de Ciberseguridad publiquen información de como son compatibles con esta especificación técnica.


Fuente : https://www.linkedin.com/pulse/isoiec-ts-271102021-un-nuevo-instrumento-para-las-de-horna-vallejos/


 

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001