- See Norma ISO 27002:2022 8.24 para obtener más información.
- See ISO 27001:2013 Anexo A 10.1.1 para obtener más información.
- See ISO 27001:2013 Anexo A 10.1.2 para obtener más información.
Anexo A 8.24 Explicación: Implementación de controles criptográficos seguros
Al transmitir información entre redes y dispositivos, los ciberatacantes pueden intentar robar datos confidenciales, alterar el contenido, imitar a los remitentes/destinatarios para obtener acceso no autorizado o interceptar el intercambio.
Los ciberdelincuentes pueden emplear hombre en el medio (MITM) ataques, interceptando transmisiones de datos y haciéndose pasar por el servidor para lograr que el remitente revele las credenciales de inicio de sesión. Con estas credenciales, pueden obtener acceso a los sistemas y poner en peligro datos confidenciales.
La criptografía, como el cifrado, puede salvaguardar eficazmente la confidencialidad, la integridad y la disponibilidad de la información durante su tránsito.
Las técnicas criptográficas pueden mantener seguros los activos de información cuando no están en uso. Garantizan que los datos estén protegidos de cualquier acceso o modificación no autorizados.
El Anexo A 27001 de ISO 2022:8.24 describe cómo las organizaciones pueden crear y aplicar regulaciones y procesos relacionados con la utilización de la criptografía.
Propósito de ISO 27001:2022 Anexo A 8.24
ISO 27001:2022 El Anexo A 8.24 permite a las organizaciones asegurar la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información mediante la aplicación correcta de la criptografía y satisfaciendo los siguientes criterios:
- Los requisitos comerciales son imprescindibles.
- Asegurar seguridad de la información mediante la implementación de requisitos estrictos.
- Los mandatos legales, contractuales y organizativos requieren el uso de criptografía.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad en el Anexo A 8.24
Cumplir con el Anexo A 8.24 requiere la implementación de una política sobre criptografía, el establecimiento de un proceso de gestión de claves eficiente y la determinación del tipo de técnica criptográfica aplicable a la clasificación de datos de un activo de información determinado.
La sección Director de Información de Seguridad debe ser responsable de establecer regulaciones y protocolos adecuados con respecto a las claves criptográficas.
Orientación general sobre el cumplimiento de ISO 27001:2022 Anexo A 8.24
ISO 27001:2022 anexo A El Control 8.24 estipula siete requisitos que las organizaciones deben observar al emplear métodos criptográficos:
- Las organizaciones deben contar con una política con respecto al uso de la criptografía, para maximizar sus beneficios y reducir los riesgos. Esta política también debe describir los principios generales de protección de la información.
- Las organizaciones deben tener en cuenta cuán delicados son sus recursos de información, así como el nivel de clasificación de la información que se les asigna, al seleccionar el tipo, la potencia y la calidad del algoritmo de cifrado.
- Las organizaciones deben utilizar enfoques criptográficos al transferir información a dispositivos portátiles, equipos multimedia o cuando se almacena en ellos.
- Las organizaciones deben abordar cualquier asunto relacionado con la gestión de claves, como formar y proteger claves criptográficas y tener un plan de recuperación de datos en caso de que las claves falten o sean vulnerables.
- Las organizaciones deben definir las funciones y responsabilidades de lo siguiente:
- Se deben establecer y hacer cumplir las reglas para el uso de técnicas criptográficas.
- Manejo de claves, incluida su generación.
- La organización adopta y aprueba estándares que abarcan los algoritmos criptográficos, la solidez del cifrado y las prácticas de uso de la criptografía.
- Las organizaciones deben considerar el impacto potencial del cifrado en la eficacia de los controles de inspección de contenido, como la detección de malware.
ISO 27001:2022 Anexo A 8.24 enfatiza que las organizaciones deben considerar los requisitos y restricciones legales que pueden afectar el uso de la criptografía, incluida la transferencia internacional de información cifrada.
Las organizaciones deben tener en cuenta la responsabilidad y la continuidad de los servicios cuando celebran acuerdos de servicio con proveedores externos de servicios criptográficos.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Orientación sobre la gestión de claves
Las organizaciones deben configurar y seguir procesos seguros para la generación, almacenamiento, obtención y eliminación de claves criptográficas.
Las organizaciones deben instalar un sistema sólido de gestión de claves que incluya regulaciones, procedimientos y criterios para:
- Es necesario generar claves criptográficas para una variedad de sistemas y aplicaciones.
- La expedición y obtención de certificados de clave pública.
- Distribuir claves a los destinatarios previstos, incluido el procedimiento de activación de claves.
- Las claves deben guardarse de forma segura. Quienes estén autorizados a acceder a ellos podrán hacerlo con las credenciales necesarias.
- Cambio de llaves.
- El manejo de claves comprometidas debe tomarse en serio.
- Si las claves se ven comprometidas o un personal autorizado abandona una organización, deben ser revocadas.
- Recuperación de llaves perdidas.
- La copia de seguridad y el archivo de claves deben realizarse con regularidad.
- Destruyendo llaves.
- Mantener un registro de todas las actividades vinculadas a cada clave.
- Establecer las fechas de activación y desactivación de claves.
- Acceso a claves en respuesta a solicitudes legales.
Finalmente, es esencial que las organizaciones sean conscientes de los tres riesgos principales que describe esta guía complementaria:
- Las claves seguras y privadas deben protegerse contra el uso no autorizado.
- La protección del equipo utilizado para crear o almacenar claves de cifrado debe realizarse con la seguridad física medidas.
- Las organizaciones deben garantizar la validez de sus claves públicas.
¿Cuáles son los beneficios de la criptografía?
ISO 27001:2022 Anexo A 8.24 establece que la criptografía se puede utilizar para ayudar a las organizaciones a alcanzar cuatro objetivos de seguridad de la información. Estos objetivos incluyen verificar la autenticidad de las claves públicas a través de procesos de gestión de claves públicas:
- La criptografía garantiza que se preserve la confidencialidad de los datos, tanto en tránsito como cuando se almacenan.
- Las firmas digitales y los códigos de autenticación garantizan que la información comunicada sea genuina y confiable.
- Los métodos criptográficos garantizan que todos los eventos o acciones tomadas, incluida la recepción de información, no serán rechazados.
- La autenticación mediante métodos criptográficos permite a las organizaciones validar la identidad de los usuarios que buscan acceso a sistemas y aplicaciones.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27001:2013
ISO 27001:2022 Anexo A 8.24 reemplaza ISO 27001:2013 Anexo A 10.1.1 y 10.1.2 en la norma revisada de 2022.
El contenido de los dos es casi el mismo, aunque existen algunas modificaciones estructurales.
Mientras que la versión de 2013 tenía dos controles separados, 10.1.1 y 10.1.2, para el uso de criptografía, la versión de 2022 los consolidó en un Control del Anexo A, 8.24.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
Cómo ayuda ISMS.online
ISMS.Online es el principal software de sistema de gestión ISO 27001, que ayuda a las empresas a cumplir con ISO 27001:2022 y garantizar que sus políticas y procedimientos de seguridad cumplan con el estándar.
Este plataforma basada en la nube ofrece un conjunto completo de herramientas para ayudar a las organizaciones a implementar un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001.
Llegar y reserve una demostración hoy.