ISO 27110 Tecnología de la información, ciberseguridad y protección de la privacidad: directrices para el desarrollo del marco de ciberseguridad
En un contexto en el cual las organizaciones están empezando a pensar que en materia de Ciberseguridad deberían adecuarse o utilizar un determinado framework de Ciberseguridad (de los múltiples que existen en el mercado), se deja de lado un aspecto importante, las necesidades cambiantes de cada organización que puede estar determinada por múltiples factores y necesidades, las cuales deberían ser aspectos determinantes para la selección o elaboración de un framework propio (a la medida de las necesidades y de las capacidades y recursos disponibles.
Obviamente, si cada organización genera su propio framework, la diversidad de estos seria un problema para el mercado global, por ello la especificación técnica ISO/IEC TS 27110 presenta un conjunto de lineamientos para que el desarrollo de frameworks pueda mantener una compatibilidad (entre los que sean compatibles con ISO/IEC TS 27110) y de esta forma aporta a las necesidades de Ciberseguridad de manera amplia.
Principios básicos:
Flexibilidad: Los diferentes marcos de ciberseguridad pueden ser compatibles entre ellos.
Compatibilidad: Se pueden complementar diferentes marcos para poder establecer un sistema de protección digital totalmente efectivo.
Operabilidad múltiple: Permite que haya diferentes usos en un marco de ciberseguridad, siendo todos válidos.
Entre los factores de riesgo más comunes en el Ciberespacio está:
Adopción acelerada y desordenada de tecnologías emergentes: Es de esperarse que la transformación digital en las empresas tome valor exponencial día a día, sin embargo, la falta de planeación, principalmente en la detección de posibles amenazas y definición de controles, aumenta la probabilidad de riesgo.
Incremento en las transacciones electrónicas: Otro factor importante para tener en cuenta para el análisis de los riesgos está representado por la cantidad de transacciones electrónicas que se realice, como capturar información de clientes, pagos en línea, ventas, compras etc. teniendo como premisa que, a mayor flujo de transacciones, mayor es la exposición al riesgo.
Canales inseguros: Conectarnos a internet lo ha sido todo, muchos procesos manuales han sido automatizados y podemos ejecutarlos desde casa o cualquier lugar conectado a internet, pero es justamente esto un factor de riesgo: la educación virtual, el teletrabajo e incluso la telemedicina; el intercambio constante de información y la necesidad de comunicación conllevan a las conexiones por redes no seguras, a entablar transferencia de información por canales desconocidos, redes no protegidas y redes intervenidas.
Los marcos de ciberseguridad reúnen de forma organizada y estructurada todos los esfuerzos de la organización tales como actividades, herramientas, documentos e implementaciones previas para abordar la ciberseguridad.