Por Guillem Pastor, CEO de Certhia
La Ley Marco sobre Ciberseguridad e Infraestructura Crítica ya cumple su primer trámite en las comisiones unidas de Defensa y Seguridad Pública del Senado. Una norma como esta -que busca generar una institucionalidad que haga más robustas la prevención y la seguridad de la información- no sólo exige una cultura de seguridad digital, sino también auditorías objetivas que permitan analizar las brechas y hacer los cambios que se necesitan.
Hoy, la norma de Gestión de la Seguridad de la información tiene una nueva versión, la ISO/IEC 27001:2022 que se publicó en octubre estableciendo un período de transición de 36 meses. Vale decir, todas aquellas organizaciones que optaron por la ISO/IEC 27001:2013 tienen hasta el 31 de octubre de 2025 para ponerse al día, si buscan responder a estándares de ciberseguridad de clase mundial.
Con 11 controles nuevos, 24 controles fusionados con otros existentes y 58 controles actualizados, la nueva norma mejora la inteligencia sobre amenazas, gestión de la identidad, seguridad de los servicios en la nube, preparación de las TIC para la continuidad del negocio, prevención de fuga de datos, y codificación segura, entre otras cosas.
Como certificadores, en Certhia, sabemos que adaptarse a los cambios puede ser complejo, pero también tenemos claro lo importante que es identificar las brechas organizacionales que necesitan ser abordadas para hacer una transición adecuada, que defina actividades, responsables, cronograma de ejecución y recursos.
Cuando se modifican las normas, siempre hay un espíritu de mejora y, sin duda, esto es muy necesario en materia de seguridad de la información, sobre todo, por la rapidez con que evoluciona la tecnología. Es tiempo de avanzar, programando
la auditoría interna al sistema de gestión e implementando las correcciones que sean necesarias para generar un plan de contingencia eficiente, que minimice los riesgos y aborde adecuadamente los eventuales impactos.