ISO/IEC 27009 nueva norma para satisfacer necesidades específicas de Seguridad de la Información

La gestión del riesgo asociado a un ataque cibernético es una prioridad permanente para organizaciones de todos los sectores. Debido al aumento del número de denuncias de ataques y la mayor envergadura de los ataques, la protección de la información crítica; incluyendo la de los clientes, es una preocupación creciente.

Para reforzar la oferta disponible enfocada a la protección de sectores industriales complejos, como salud, finanzas y transporte, la Organización Internacional de Normalización (ISO) ha publicado la norma ISO/IEC 27009 de Tecnología de la Información - Técnicas de seguridad - Aplicación específica de la norma ISO/IEC 27001 para cada sector - Requisitos, que proporciona una orientación sobre la inclusión de requisitos y controles específicos del sector, además de los establecidos por la norma ISO/IEC 27001:2013 de Sistemas de Gestión de Seguridad de la Información (SGSI).

Rob Acker, LRQA Information Security Technical Manager, comenta su opinión acerca de la publicación de la nueva norma; "La publicación de la norma ISO/IEC 27009 representa una etapa importante en el camino hacia la optimización y racionalización en todos los sectores de la industria. Con muchos requisitos complejos en los diferentes sectores, ISO/IEC 27009 ayudará a asegurar que todos ellos pueden ser atendidos manteniendo la protección robusta que ofrece la norma ISO/IEC 27001 – salvaguardando a las organizaciones, sus SGSI y a sus clientes".

ISO/IEC 27009 proporciona un marco dentro del cual las normas ISO/IEC 27001 o ISO/IEC 27002 pueden ser mejoradas o pulidas, bien para incluir los requisitos específicos del sector de actividad de la organización o bien para interpretar los requisitos de forma que se garantice su implantación coherente y consistente Este enfoque se implantará en los sectores existentes, sobre normas específicas de tecnología o de riesgo tales como ISO/IEC 27011 (telecomunicaciones), ISO/IEC 27017 (cloud computing) o ISO/IEC 27032 (Seguridad Cibernética), para minimizar el riesgo de duplicación o confusión.

Para aquellas organizaciones que deseen seguir aplicando sólo el núcleo de la norma ISO/IEC 27002 para la gestión y control de su cadena de suministro, este marco de trabajo también proporciona la seguridad de que la inclusión de normas específicas del sector no reduce la eficacia de los requisitos, ya que su enfoque se ha diseñado para evitar la retirada así como de cualquier otro factor que reduzca la validez de los controles.

Para más información sobre los procesos de actualización de las normas y sobre nuestros servicios para la transición de las normas ISO, visite periódicamente el apartado de actualización de las normas de nuestra página web, o contacte a través de buzón consultas y a la mayor brevedad posible uno de nuestros expertos atenderá su solicitud.