En los últimos meses se ha publicado una nueva versión de la Norma ISO/IEC 27002 de seguridad de la información y se ha actualizado también el Esquema Nacional de Seguridad para adaptarse al escenario actual global TIC. Ambas son herramientas fundamentales que ayudan a las organizaciones a hacer frente a las ciberamenazas de la sociedad digital.
La evolución de las Tecnologías de la Información y las Comunicaciones (TIC) continúa avanzando a pesar de las graves consecuencias ocasionadas por la pandemia del covid-19, a las que se suman además momentos tan críticos marcados por la invasión de Rusia a Ucrania o el alto coste energético.
En este escenario, la transformación digital se ha acelerado de forma inesperada, teniendo un profundo impacto en las organizaciones, en las industrias y en la sociedad. 
El despliegue de escenarios tecnológicos como SMAC (Social-Mobility-Analytics-Cloud); el desarrollo de la Industria 4.0 (OT-Tecnologías de la Operación + IoT-Internet de las Cosas); la consideración en la mejora de los sistemas de comunicación como 5G; los actuales modelos de inteligencia artificial, machine learning y deep learning; las tecnologías disruptivas como Blockchain o incluso nuevos paradigmas como Edge-Computing, Metaverso, Web3; o la computación cuántica requieren de nuevas herramientas e instrumentos actualizados que hagan frente a las nuevas ciberamenazas y ciberriesgos de la actual sociedad digital.
Respuesta a los retos actuales
Por todo ello, la ciberseguridad y privacidad de los sistemas y los datos son los retos actuales y futuros con mayor prioridad en los comités de dirección de las organizaciones para conseguir que la transformación digital sea una realidad. Se plantean tres cuestiones fundamentales:
• ¿Se conocen y gestionan los ciberriesgos y las ciberamenazas que puedan afectar a la organización?
• ¿Somos capaces de detectar y gestionar un incidente de seguridad, informando de forma adecuada a los stakeholders y valorando el impacto en la organización?
•¿Los datos y sistemas de información han sido comprometidos en los últimos seis meses?
Para dar respuesta a estas cuestiones, la Organización Internacional de Normalización (ISO) ha publicado este año la actualización de uno de sus estándares técnicos más reconocidos y utilizados: la ISO/IEC 27002 Seguridad de la información, ciberseguridad y protección de la privacidad - Controles de Seguridad de la Información.
En este sentido, también en el ámbito nacional, los responsables del Esquema Nacional de Seguridad han agilizado la revisión del RD 3/2010, cuya actualización se publicó el pasado 4 de mayo.
Con más de 15 años de historia, la ISO/IEC 27002 es una norma no certificable que ha sido una guía de implantación de controles de seguridad de la información. Sin embargo, está incluida en el Anexo de la ISO/IEC 27001 de Sistema de Gestión de Seguridad de la Información (SGSI), que sí es certificable, como referencia de los controles de seguridad que hay que aplicar, según el análisis de riesgos y conforme a la mejora continua. De hecho, la publicación de la nueva versión de la ISO/IEC 27002 ha acelerado la futura actualización de la ISO/IEC 27001 que, previsiblemente, se produzca en las próximas semanas.
La ISO/IEC 27002 proporciona un conjunto de controles generales de seguridad de la información, contemplando para cada uno de ellos una guía de implementación. Se ha diseñado para ser utilizada por las organizaciones públicas y privadas de tres posibles formas:
• En el contexto de un sistema de gestión de seguridad de la información.
• Para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente.
• Para desarrollar sus propias directrices de gestión de la seguridad de la información.
La nueva versión de la ISO/IEC 27002 tiene una nueva estructura y considera temas de seguridad de la información. Estos temas son: controles organizacionales, controles de personas, controles físicos y controles tecnológicos. Y sobre cada tema establece distintos controles.
Por su parte, el nuevo Real Decreto 311/2022, publicado el pasado 4 de mayo, regula el Esquema Nacional de Seguridad (ENS) y actualiza el publicado en 2010 y su posterior modificación de 2015.
La versión vigente del ENS establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de siete principios básicos, 15 requisitos mínimos, medidas de seguridad y mecanismos de conformidad y monitorización para la Administración pública, así como para los proveedores tecnológicos del sector privado que colaboran con la Administración.
Actualmente, Aenor está en proceso de actualización de su acreditación; y conforme a las últimas directrices de ENAC y el CCN, ninguna entidad certificadora acreditada por ENAC podrá emitir certificados con la nueva versión RD 311/2022 hasta el 1 de diciembre 2022.
Es un hecho que las organizaciones españolas confían desde hace años en la certificación ISO/IEC 27001. Así lo pone de manifiesto el último informe ISO Survey, referente mundial en certificaciones de sistemas de gestión de acuerdo con normas internacionales ISO y que publica anualmente los datos actualizados de todos los países. Los datos sitúan a España en el top ten mundial por número de certificaciones y Aenor contribuye con más del 50 % de estos certificados.
Las organizaciones vascas han identificado claramente la necesidad de gestionar los riesgos y los servicios relacionados con las TIC´s. Aproximadamente un centenar de organizaciones han optado por certificar sus sistemas de gestión tomando como referencia las normas ISO/IEC 27001, ISO/IEC 20000 y ENS. La sede de Aenor en el País Vasco está a disposición de todas las organizaciones que necesiten ampliar información sobre las diferentes soluciones de certificación y formación diseñadas para aportar confianza a las relaciones entre empresas y personas.
 Por último, no hay que olvidar que los estándares de ciberseguridad deben aportar soluciones a las organizaciones que las implantan y certifican. Además, tienen que considerar los retos que ya están sobre la mesa, como blockchain, Big Data, Edge-computing, etc. y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos que tomarán decisiones en la actual sociedad digital.