Considerando el crecimiento de las amenazas informáticas y los consecuentes riesgos en los que se pone a las empresas e industrias, es más importante que nunca considerar la necesidad de proteger la información crítica tanto de las empresas como de sus clientes. Por ello no es de extrañar que muchas empresas hayan optado por la adopción de estándares garantes de la seguridad de la información, como es el caso de la ISO/IEC 27001, siendo este un estándar ampliamente empleado.
En relación a ello, hemos de considerar que se acaba de publicar una nueva norma que vas un paso más allá, considerando la importancia de aplicar los requisitos de la norma a sectores específicos, ofreciendo directrices básicas para ello. Esta norma se encarga de ofrecer una protección a medida para sectores específicos (por ejemplo, las finanzas, el transporte y el cuidado de la salud, y proyectos de infraestructura, como las ciudades inteligentes) con la finalidad de proteger a las organizaciones frente al desarrollo de amenazas en relación a la información crítica con la que se trabaja diariamente, habiéndose convertido en una política comercial además de en un imperativo económico, y conduciendo la necesidad de desarrollo de normas cibernéticas específicas en relación a cada sector. La reciente publicación ISO / IEC 27009 ayudará a los normalizadores hacer precisamente eso, proporcionando el asesoramiento y la orientación necesaria sobre cómo crear normas que se aplican la norma ISO / IEC 27001 para los distintos sectores.
ISO 27009,–Requisitos de aplicación específica para cada sector de la norma- Tecnologías de la información-Técnicas de seguridad En relación a la norma ISO / IEC 27001, se une a la norma ISO / IEC 27000 familia de estándares para ayudar a maximizar la eficacia de la norma ISO 27001. Mediante el desarrollo de l estandar se explica cómo incluir requisitos y controles adicionales a los que establece la norma ISO / IEC 27001 de aplicación a sectores específicos, permitiendo lograr consistencia en el desarrollo de estándares en esta familia.
El Prof. Edward Humphreys, Coordinador de la norma ISO / IEC SC 27 / WG 1, además del grupo de trabajo encargado de desarrollar la norma, según la norma ISO / IEC 27001 establecen un lenguaje internacional común para la gestión de la seguridad de la información, por lo que la norma ISO / IEC 27009 facilitará la mejora del lenguaje común a través de el paisaje, del sector, permitiendo dar forma al desarrollo de normas garantes de la seguridad de la información específica del sector y la privacidad.
Podemos considerar que también se han desarrollado varias normas específicas del sector, tales como ISO 27011 para las telecomunicaciones, ISO 27017, para la computación en nube y la norma ISO 27019 para el sector de la energía. Estas normas son ejemplos en los que los controles, adicionales a los de la norma ISO / IEC 27001, se han definido para satisfacer las exigencias de los sectores específicos de que se trate. En el desarrollo de estas normas, se ha hecho evidente que la estructura y el lenguaje armonizado, basado en la norma ISO / IEC 27001, además de la importancia de la orientación específica hacendo posible el futuro desarrollo de normas específicas del sector más eficaces, evitando la duplicación.
La norma ISO / IEC 27009 asegurará el desarrollo y la revisión de las normas existentes, en sectores específicos así como la posibilidad de adopción de un enfoque que permite la consistencia con la norma ISO / IEC 27001. Por lo tanto, proporcionará asesoramiento sobre la forma de ampliar, perfeccionar o interpretar los requisitos de la norma ISO / IEC 27001 además de permitir añadir o modificar el establecimiento de orientaciones para la implementación de la norma ISO/ IEC 27002 para su utilización específica para el sector.
Fuente: ISO