¿Qué es la Norma CEN/TS 18026:2024?

La creciente dependencia de la computación en la nube, ha llevado a la necesidad de establecer un marco de seguridad sólido y armonizado para ayudar a las organizaciones a mitigar los riesgos de ciberseguridad y a generar confianza en sus servicios en la nube.

Por ello surgen la Norma CEN/TS 18026:2024, una Especificación Técnica del Comité Europeo de Normalización que se centra en la ciberseguridad para servicios en la nube.

Ésta establece un conjunto de requisitos que las empresas que proporcionan servicios cloud deberán cumplir para asegurar la protección de la información que se almacena, procesa y transmite en entornos de nube.

Enfoques de la Norma CEN/TS 18026:2024

CEN/TS 18026:2024 se centra en un enfoque de tres niveles ya que reconoce que no todos los servicios en la nube presentan el mismo nivel de riesgo. Así los requisitos de las medidas de seguridad serán más flexibles y proporcionales.

  • Nivel básico:

    • Este nivel correspondería a los servicios en la nube con menor criticidad y menor riesgo.
    • Los requisitos de seguridad en este nivel serían los mínimos necesarios para garantizar un nivel aceptable de protección.

  • Nivel medio:

    • Este nivel se aplicaría a servicios en la nube con un nivel de criticidad y riesgo moderado.
    • Los requisitos de seguridad serían más estrictos que en el nivel básico, abordando una gama más amplia de amenazas.

  • Nivel alto:

    • Este nivel estaría reservado para los servicios en la nube con mayor criticidad y mayor riesgo, como aquellos que manejan datos sensibles o críticos para la operación de una organización.
    • Los requisitos de seguridad serían los más rigurosos, exigiendo medidas de protección avanzadas.

Áreas clave y tipos de controles

Áreas clave de control:

Gestión de riesgos:

 

Seguridad de la red:

Evaluación y tratamiento de riesgos de ciberseguridad.

 

Segmentación de la red.

Identificación y gestión de vulnerabilidades.

 

Firewalls y sistemas de detección de intrusiones.

 

 

Seguridad de las comunicaciones.

 

 

 

Seguridad de la información:

 

Seguridad del software:

Control de acceso a la información y a los sistemas.

 

Desarrollo seguro de software.

Protección de datos en reposo y en tránsito.

 

Gestión de vulnerabilidades en aplicaciones.

Cifrado y gestión de claves.

 

Pruebas de seguridad.

 

 

 

Seguridad física y ambiental:

 

Gestión de la identidad y el acceso:

Protección de centros de datos y otras instalaciones.

 

Autenticación multifactor.

Controles de acceso físico.

 

Revisiones periódicas de los privilegios de acceso.

Gestión de condiciones ambientales.

 

Gestión de identidades de usuarios y dispositivos.

 

 

 

Gestión de incidentes:

 

Gobierno y gestión de la ciberseguridad:

Detección y respuesta a incidentes de seguridad.

 

Políticas y procedimientos de seguridad.

Notificación de incidentes.

 

Formación y concienciación en ciberseguridad.

Recuperación ante desastres.

 

Auditorías y evaluaciones de seguridad.

Características de los controles:

  • La norma propone un enfoque de tres niveles, lo que significa que los controles se pueden implementar con diferentes grados de rigurosidad, dependiendo del nivel de riesgo y los requisitos de seguridad.
  • La implementación de controles puede variar dependiendo de las características del servicio de nube certificado.

Relación con el Reglamento (UE) 2024/2690

Para entender la relación entre la norma CEN/TS 18026:2024 y el Reglamento (UE) 2024/2690, es crucial desglosar ambos elementos y luego conectar sus propósitos:

  • Reglamento (UE) 2024/2690

    • Este reglamento de la Comisión Europea es un instrumento de aplicación de la Directiva (UE) 2022/2555, conocida como la Directiva NIS2 (sobre la seguridad de las redes y los sistemas de información).
    • Su principal objetivo es establecer requisitos técnicos y metodológicos para la gestión de riesgos de ciberseguridad.
    • Además, especifica cuándo un incidente de ciberseguridad se considera significativo para ciertos proveedores de servicios digitales esenciales (como proveedores de servicios DNS, computación en la nube, centros de datos, entre otros).
    • En resumen, el Reglamento (UE) 2024/2690 busca armonizar y elevar el nivel de ciberseguridad en la Unión Europea.

  • Norma CEN/TS 18026:2024

    • Las normas CEN/TS (Especificaciones Técnicas del Comité Europeo de Normalización) proporcionan directrices y recomendaciones sobre temas específicos.
    • En este caso, la norma CEN/TS 18026:2024 se centra en proveer una guía para la seguridad en la gestión de información. Es posible que esta norma técnica provea los requerimientos que se buscan y solicitan en el reglamento (UE) 2024/2690.

  • Relación entre ambos

    • El Reglamento (UE) 2024/2690 establece los requisitos legales y las obligaciones en materia de ciberseguridad.
    • La norma CEN/TS 18026:2024, actúa como una herramienta a utilizar para cumplir con dichos requisitos.
    • En otras palabras, la norma puede ofrecer un marco de trabajo y directrices técnicas detalladas sobre cómo implementar las medidas de gestión de riesgos de ciberseguridad que exige el reglamento.
    • Podemos decir entonces, que la norma ayuda a dar forma técnica para que las organizaciones cumplan los requerimientos solicitados por el reglamento Europeo.

  • En resumen:

    • El reglamento define «qué» debe hacerse en términos de ciberseguridad.
    • La norma proporciona el «cómo» para implementar las medidas necesarias.

Beneficios de obtener el Certificado CEN/TS 18026:2024

La norma CEN/TS 18026:2024 ofrece una serie de beneficios significativos para los proveedores de servicios en la nube y para las organizaciones que dependen de ellos. Aquí te detallo los más importantes:

Beneficios clave:

  • Refuerzo de la ciberseguridad: Proporciona un marco sólido y estructurado para implementar medidas de ciberseguridad efectivas protegiendo la información sensible contra amenazas y ataques cibernéticos.
  • Generación de confianza:Demuestra el compromiso del proveedor con la protección de datos, generando confianza entre proveedores, socios y terceros..
  • Adaptabilidad a los riesgos: El enfoque de tres niveles permite adaptar los requisitos de seguridad al nivel de riesgo y la criticidad de los servicios, garantizando una implementación proporcional y eficiente de las medidas de seguridad.
  • Cumplimiento normativo: Facilita el cumplimiento de regulaciones y normativas relacionadas con la ciberseguridad y la protección de datos, evitando sanciones y multas por incumplimiento.
  • Mejora de la competitividad: La certificación diferencia a los proveedores de servicios en la nube en un mercado competitivo, aumentando la capacidad de atraer y retener clientes.
  • Reducción de riesgos: Reduce la probabilidad de incidentes de ciberseguridad, lo que minimiza el impacto financiero y reputacional de las brechas de seguridad.

En resumen, la norma CEN/TS 18026:2024 ayuda a crear un entorno de nube más seguro y confiable, beneficiando tanto a los proveedores como a los usuarios de estos servicios.

¿Quieres obtener el certificado CEN/TS 18026:2024?

El equipo de consultores expertos en Ciberseguridad de Grupo Ingertec, te ayudará a reforzar la ciberseguridad y demostrar la excelencia de tus servicios en la nube a través del certificado en CEN/TS 18026:2024.

Con más de 20 años en el mercado, contamos con la experiencia y el mejor equipo consultor, quienes te apoyarán en todo momento.

¡No lo dudes más y contáctanos!

¿Necesitas más información?

¿Qué ofrecer a tu empresa?

Proceso Online

Consultores Expertos

Auditoría Interna

Certificación Asegurada

Precio Justo

¡Suscríbete a nuestra Newsletter!

Política de Privacidad de Grupo Ingertec