Publicado el
La evolución de las TIC no cesa y su vertiginoso desarrollo es de tal magnitud, que la 4ª revolución industrial y la transformación digital son una realidad que ya enfrentan organizaciones, industrias y sociedad, donde nuevos escenarios tecnológicos como SMAC (Social-Mobility-Analytics-Cloud) y el desarrollo de la denominada Industria 4.0 (OT-Tecnologías de la Operación + IoT), entre otras, conllevan nuevas ciberamenazas y ciberriesgos. Es un hecho que la ciberseguridad y la privacidad para la nueva era digital son los pilares de la gestión de los datos, proceso transversal de crucial importancia en las organizaciones.
Siguiendo esta tendencia, AENOR ha diseñado las herramientas básicas para la prevención y defensa en ciberseguridad basadas en el estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información y en el Real Decreto Español 3/2010 por el que se regula el Esquema Nacional de Seguridad (ENS), donde se consideran tres aspectos claves: el análisis, gestión y mitigación de los ciberriesgos en las TIC de las organizaciones; los principales controles para una protección adecuada de la información, los servicios y los sistemas de la organización; y el ciclo de mejora continua (PDCA-Plan, Do, Check, Act).
Por un lado, la certificación ISO/IEC 27001 permite hablar un lenguaje de ciberseguridad orientado a los objetivos del negocio, involucrando a la alta dirección de las organizaciones. Además, facilita el cumplimiento de las distintas normativas que afectan a las organizaciones en lo que respecta a datos almacenados y privacidad, protección de datos y seguridad de la información en general. También proporciona a la organización mayor ciberresiliencia, es decir, poder prevenir y gestionar las amenazas y riesgos, sin detener las operaciones ante un incidente de ciberseguridad.
De otra parte, el Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad (ENS), tiene como objetivo establecer la política de seguridad en la utilización de medios electrónicos a través de unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Se crean así las condiciones necesarias de confianza en el uso de los medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos.
AENOR ha sido pionera en conseguir la acreditación por ENAC para la certificación de conformidad con el ENS. En la actualidad, ha certificado a más de 50 organizaciones públicas/privadas y es la única organización acreditada para emitir los certificados ENS, ISO 27001 de Sistema de Gestión de Seguridad de la Información e ISO 22301 de Sistema de Gestión de Continuidad de Negocio.
Algunos de los beneficios de la certificación ISO/IEC 27001 y ENS son hablar un lenguaje de ciberseguridad orientado a los objetivos del negocio, involucrando a stakeholders, a la alta dirección y a todo el personal de las organizaciones; optimizar recursos y costes, orientando los presupuestos de ciberseguridad y la aplicación de controles; y crear las condiciones necesarias de confianza en el uso de los medios electrónicos a través de controles de seguridad para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de la AAPP en el ámbito nacional, entre otras.
Algunos de los beneficios de la certificación ISO/IEC 27001 y ENS son hablar un lenguaje de ciberseguridad orientado a los objetivos del negocio
En este punto, la auditoría de certificación y las auditorías de seguimiento de AENOR son una herramienta útil para la Dirección de las organizaciones con el fin de comprobar que el Sistema de Gestión de Seguridad de la Información (SGSI) cumple con los objetivos de ciberseguridad y con los objetivos de negocio y mejorar la imagen corporativa de la organización al obtener una certificación reconocida internacionalmente. Además, constituye un referente, ya que los auditores de AENOR en este ámbito cuentan con una
