Atendiendo a las nuevas necesidades de ciberseguridad y privacidad,
AENOR ha elaborado, dentro del Ecosistema Digital, el Modelo de Ciberseguridad y Privacidad, que pretende ser el aliado de los Chief Information Security Officer (CISO) y de los profesionales de TIC.
La generalización y el uso extensivo de la conectividad móvil, redes sociales, Big Data, etc. ha supuesto un despliegue de las tecnologías conocidas como SMAC (Social-Mobility-Analytics-Cloud) que, junto con el desarrollo de la llamada Industria 4.0., implica nuevos riesgos y amenazas. Por ello, es fundamental dotar de ciberseguridad a las nuevas tecnologías implicadas en la transformación digital.
AENOR ha diseñado un “Modelo de Ciberseguridad y Privacidad”, que ofrece soluciones a los nuevos riesgos y amenazas a los que se enfrentan las organizaciones públicas o privadas a la hora de afrontar su transformación digital; utilizando para ello la implantación y posterior certificación de los siguientes referenciales.
El Modelo de Ciberseguridad y Privacidad es compatible e integrable con el Modelo de Gobierno y Gestión de las TIC.
El Reglamento de la UE 910/2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (eIDAS) tiene como objetivo establecer los criterios para los servicios de confianza.
Igualmente, determina un marco jurídico para los servicios cualificados como firma electrónica, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.
El Reglamento General de Protección de Datos (RGPD) UE 2016/679, de obligado cumplimiento desde el mes de mayo, establece un nuevo marco jurídico sobre la protección de los datos personales y sobre la libre circulación de los mismos. Su objetivo es ofrecer más control a los ciudadanos sobre su información personal en el entorno SMAC y la transformación digital.
El Reglamento incluye varios aspectos que se tratan de forma similar en normas/estándares anteriores como la ISO 27001 o el ENS.
Los ciberataques a los sistemas industriales (centrales térmicas, fábricas de automóviles/textiles/alimentarias, laboratorios químicos/farmacéuticos, etc.) y concretamente a sus sistemas de control y supervisión de procesos (SCADA, por sus siglas en inglés), constituyen hoy día una amenaza real.
En este escenario y tomando como base el sistema de gestión de seguridad de la información descrito en la ISO/IEC 27001, y de acuerdo al análisis de riesgos sobre los procesos industriales (OT), se aplican controles propios para estos entornos industriales como son la familia de normas ISA 99 o IEC 62443.