Con las amenazas informáticas en auge poniendo a las empresas e industrias en situación de riesgo, es más importante que nunca que las organizaciones protejan su información y la de sus clientes. Por ello, no es de extrañar que la norma ISO e IEC para la seguridad de la información, ISO/IEC 27001, sea tan ampliamente utilizada. Una nueva norma que acaba de publicarse va un paso más allá, ayudando a aplicar los requisitos de esta norma insignia a sectores específicos.
Esta norma ofrece una protección más a medida para sectores específicos (por ejemplo, las finanzas el transporte y el cuidado de la salud, y proyectos de infraestructura, como las ciudades inteligentes) para protegerse de amenazas a la información, habiéndose convertido en una política comercial además de un imperativo económico, conduciendo la necesidad de normas cibernéticas específicas a cada sector. La recientemente publicada ISO/IEC 27009 ayudará a los normalizadores a hacer precisamente eso, proporcionando el asesoramiento y la orientación necesaria sobre cómo crear normas que aplican la ISO/IEC 27001 para los distintos sectores.
ISO/IEC 27009, Tecnología de la información - Técnicas de seguridad - Aplicación específica para cada sector de la norma ISO/IEC 27001 - Requisitos, se une a la familia de normas ISO/IEC 27000 para ayudar a maximizar la eficacia de la ISO/IEC 27001. Explica cómo incluir requisitos y controles adicionales a los de la ISO/IEC 27001 que son aplicables a sectores específicos, permitiendo lograr la coherencia en el desarrollo de normas en esta familia.
El Prof. Edward Humphreys, Coordinador del ISO/IEC SC 27/WG 1, el grupo de trabajo que desarrolló la norma, dijo que la norma ISO/IEC 27001 es el lenguaje común internacional para la gestión de seguridad de la información, por lo que la norma ISO/IEC 27009 mejorará este lenguaje común a través del panorama del sector y dará forma al desarrollo de normas para la seguridad y la privacidad de la información específica del sector.
"Ya hemos desarrollado varias normas para sectores específicos, tales como ISO/IEC 27011 para las telecomunicaciones, ISO/IEC 27017 para la computación en la nube e ISO/IEC 27019 para el sector energético. Estas normas son ejemplos en los se han definido controles, adicionales a los de la norma ISO/IEC 27001, para satisfacer las exigencias de los sectores específicos afectados. En el desarrollo de estas normas, se hizo evidente que una estructura y lenguaje armonizado, basado en la norma ISO/IEC 27001, y la orientación específica harían que el desarrollo de normas específicas del sector futuras sea más eficaz, y evitarían la duplicación.”
“ISO/IEC 27009 asegurará el desarrollo de las nuevas y la revisión de las normas existentes, en sectores específicos, así como la posibilidad de adoptar un enfoque consistente con la norma ISO/IEC 27001. Por lo tanto, proporcionará asesoramiento sobre la forma de ampliar, perfeccionar o interpretar los requisitos de ISO/IEC 27001 y cómo añadir o modificar la orientación para la implementación de la norma ISO/IEC 27002 para el uso específico del sector.”
Fuente: Página web de ISO