sábado, 3 de agosto de 2019

Los nuevos requisitos de Ciberseguridad de CTPAT y Su relación con ISO 27032 (Mexico)

Las empresas establecidas en Nuevo León certificadas en Customs Trade Partnership Against Terrorism (CTPAT) deben conocer acerca de la reciente actualización de SUS estándares en su versión 2019 y sus nuevos criterios especialmente en el apartado denominado CIBERSEGURIDAD.
 
CTPAT define a la CIBERSEGURIDAD como aquella actividad que se enfoca en proteger computadoras, redes, programas y datos de Acceso, así como evitar la destrucción de datos y/o accesos al sistema no autorizados.
 
Para cumplir con lo anterior la organización mexicana que cuenta con esta certificación o pretende obtenerla debe establecer un proceso de gestión de riesgos que permita identificar, analizar, evaluar y comunicar un riesgo cibernético para aceptarlo, evitarlo, transferirlo o mitigarlo a un nivel aceptable, considerando los costos y beneficios tomados.
Es oportuno mencionar que el Operador Económico Autorizado (OEA) también exige a sus empresas certificadas un control similar en su apartado 9. Seguridad de la información y documentación, específicamente en la cláusula 9.2 Seguridad de la tecnología de la información.
 
ISO 27032: GESTIÓN DE LA CIBERSEGURIDAD
Afortunadamente existe un estándar ISO que permitirá demostrar tanto para CTPAT como para OEA un sistema de gestión de ciberseguridad en el estándar ISO 27032 que consiste en desarrollar una estrategia que se divide en cuatro grandes áreas:
 
Fase I: Entendimiento de la Organización
En esta primera fase será necesario:
• Revisar productos y servicios
• Revisar el marco normativo de seguridad en uso
• Recopilar y revisar documentación de seguridad
• Conocer los flujos de información en los procesos
• Conocer las medidas técnicas de seguridad implementadas, etc
• Esta fase permitirá también disponer de un inventario de activos de los servicios en el alcance.
 
Fase II: Análisis de Riesgos
En esta fase, se llevará a cabo un análisis de riesgos que consta de:
• Activos críticos
• Amenazas
• Vulnerabilidades
• Impacto y riesgo
• Identificación de Responsabilidades
 
Fase III: Plan de Acción
Este plan contendrá:
• Políticas
• Identificación de roles
• Métodos de implementación
• Procesos afectados
• Controles tecnológicos
 
Fase IV: Implementación
Esta fase del proyecto se focalizará entonces en la implementación de controles que deberán considera aspectos como:
• Existencia de Política de Seguridad
• Procedimientos de Seguridad
• Marcos existentes para el intercambio de información
• Planes de concienciación del personal
• Monitorización TIC
• Gestión de incidentes
 
Es indispensable seguir considerando al estándar ISO 27001 (del cual hablaremos más adelante) como base para proteger a la información de nuestra organización, sin embargo ISO 27032 se enfoca de manera específica a la prevención de ciberdelitos tal y como lo exige el nuevo criterio de ciberseguridad de CTPAT 2019.
 
CTPAT recomienda a las empresas mexicanas que independientemente cuál estrategia utilicen, también se apoyen con los protocolos de ciberseguridad que establece el NIST, para visitar el portal oficial el sitio se encuentra en: https://www.nist.gov/cyberframework
 
El autor es asesor de seguridad de INDEX Nuevo León y Director del Consejo de Seguridad en Cadena de Suministro dentro de este organismo.
 
 
 
Link relacionado:
 
- ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity Preview

 


No hay comentarios: