- See Norma ISO 27002:2022 8.28 para obtener más información.
ISO 27001 Anexo A 8.28: Fortalecimiento de la seguridad del software con codificación segura
El uso de prácticas de codificación deficientes, como una validación de entrada incorrecta y una generación de claves débil, puede provocar ciberataques y comprometer activos de información confidencial.
Por este motivo, los piratas informáticos aprovecharon el infame error Heartbleed para acceder a más de 4 millones de registros de pacientes.
Para evitar vulnerabilidades de seguridad, las organizaciones deben seguir principios de codificación segura.
¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:8.28?
Per ISO 27001:2022, el Anexo A Control 8.28 ayuda a las organizaciones a prevenir riesgos y vulnerabilidades de seguridad que pueden surgir debido a prácticas deficientes de codificación de software mediante el desarrollo, implementación y revisión de prácticas de codificación de software seguras apropiadas.
¿Quién es propietario del Anexo A 8.28?
Un director de seguridad de la información debe ser responsable de tomar las medidas adecuadas para garantizar el cumplimiento de 8.28, lo que requiere desarrollar e implementar principios y procedimientos de codificación seguros en toda la organización.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Directrices de cumplimiento de la norma ISO 27001:2022 Anexo A 8.28
Las organizaciones deben desarrollar e implementar procesos de codificación seguros que se apliquen a productos suministrados por partes externas y componentes de software de código abierto, como se describe en ISO 27001 Anexo A Control 8.28.
Además, las organizaciones deben mantenerse informadas sobre la evolución de las amenazas a la seguridad del mundo real y la información más reciente sobre vulnerabilidades de seguridad del software conocidas o potenciales. Al utilizar este enfoque, las organizaciones pueden desarrollar principios de codificación sólidos y seguros para combatir ciberamenazas en evolución.
Orientación complementaria sobre planificación
Es esencial que tanto los nuevos proyectos de codificación como las operaciones de reutilización de software cumplan con los principios de codificación de software segura.
Estos principios deben respetarse tanto al desarrollar software internamente como al transferir productos o servicios de software.
Las organizaciones deben considerar los siguientes factores al desarrollar un plan para los principios de codificación segura y determinar los requisitos previos para la codificación segura:
- Las expectativas de seguridad deben adaptarse a las necesidades específicas de la organización y se deben establecer principios aprobados para que el código de software seguro se aplique al software interno. desarrollo y subcontratación componentes.
- Las organizaciones deben identificar y documentar los errores de diseño de codificación y las prácticas de codificación deficientes más frecuentes e históricos para evitar violaciones de seguridad de los datos.
- Las organizaciones deben implementar y configurar herramientas de desarrollo de software para garantizar la seguridad de todo el código creado. Los entornos de desarrollo integrados (IDE) son un ejemplo de este tipo de herramientas.
- Las herramientas de desarrollo de software deben proporcionar orientación e instrucciones para ayudar a las organizaciones a cumplir con las directrices e instrucciones.
- Las organizaciones deben revisar, mantener y utilizar de forma segura las herramientas de desarrollo, como los compiladores.
Orientación complementaria sobre seguridad durante la codificación
Para garantizar prácticas y procedimientos de codificación seguros, se debe considerar lo siguiente durante el proceso de codificación:
- Los principios de codificación de software seguro deben adaptarse a cada lenguaje y técnica de programación.
- El desarrollo basado en pruebas y la programación en pares son ejemplos de técnicas y métodos de programación seguros.
- Implementación de técnicas de programación estructurada.
- Documentación del código y eliminación de defectos del código.
- Está prohibido el uso de métodos de codificación de software inseguros, como ejemplos de códigos no aprobados o contraseñas codificadas.
Se debe realizar una prueba de seguridad durante y después del desarrollo, como se especifica en el Control 27001 del Anexo A de ISO 8.29.
Las organizaciones deben considerar los siguientes elementos antes de implementar el software en un entorno de aplicación en vivo:
- ¿Existe una superficie de ataque?
- ¿Se sigue el principio de privilegio mínimo?
- Analizar los errores de programación más frecuentes y documentar su eliminación.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Orientación complementaria para el proceso de revisión
Tras la implementación del Código en el entorno de producción
- Se debe utilizar un método seguro para aplicar las actualizaciones.
- Per ISO 27001:2022 Anexo A Control 8.8, se deben abordar las vulnerabilidades de seguridad.
- Se deben mantener registros de los ataques y errores sospechosos en los sistemas de información, y estos registros deben revisarse periódicamente para que se puedan realizar los cambios apropiados.
- Se debe utilizar herramientas como herramientas de gestión para evitar el acceso, uso o modificación no autorizados del código fuente.
Las organizaciones deben considerar los siguientes factores al utilizar herramientas externas
- Se debe realizar un seguimiento y actualización periódicos de las bibliotecas externas según sus ciclos de lanzamiento.
- Es esencial realizar una revisión, selección y autorización exhaustivas de los componentes del software, en particular los relacionados con la criptografía y la autenticación.
- Obtención de licencias de componentes externos y garantía de su seguridad.
- Debería haber un sistema para rastrear y mantener el software. Además, hay que asegurarse de que procede de una fuente fiable.
- Es esencial disponer de recursos para el desarrollo a largo plazo.
Se deben tener en cuenta los siguientes factores al realizar cambios en un paquete de software:
- Los procesos de integridad o los controles incorporados pueden exponer a una organización a riesgos.
- Es esencial determinar si el proveedor ha dado su consentimiento a los cambios.
- ¿Se puede obtener el consentimiento del proveedor para realizar actualizaciones periódicas del software?
- El impacto probable del mantenimiento del software a medida que cambia.
- ¿Qué efecto tendrán los cambios en otros componentes de software que utiliza la organización?
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Orientación adicional sobre ISO 27001:2022 Anexo A 8.28
Las organizaciones deben asegurarse de utilizar código relevante para la seguridad siempre que sea necesario y que sea resistente a la manipulación.
El Anexo A Control 8.28 de ISO 27001:2022 hace las siguientes recomendaciones para el código relevante para la seguridad:
- Si bien los programas descargados mediante código binario incluirán código relacionado con la seguridad en la propia aplicación, su alcance estará limitado a los datos almacenados internamente dentro de la aplicación.
- Realizar un seguimiento del código relevante para la seguridad solo es útil si se ejecuta en un servidor al que el usuario no puede acceder y está separado de los procesos que lo utilizan para que sus datos se mantengan seguros en otra base de datos y se separen de forma segura de los procesos. que lo use. Es posible utilizar un servicio en la nube para ejecutar un código interpretado y puede restringir el acceso al código a administradores privilegiados para restringir el acceso al código. La recomendación es que estos derechos de acceso se protejan con privilegios de administrador justo a tiempo y mecanismos de autenticación sólidos que solo otorguen acceso al sitio en el momento adecuado.
- Se debe implementar una configuración adecuada en los servidores web para evitar el acceso no autorizado y la navegación en los directorios del servidor.
- Para desarrollar código de aplicación seguro, debe asumir que el código es vulnerable a ataques debido a errores de codificación y acciones tomadas por actores maliciosos. Una aplicación crítica debe diseñarse para ser inmune a fallas internas de una manera que evite que sea propensa a errores. Por ejemplo, al evaluar el resultado de un algoritmo, es posible garantizar que el resultado cumpla con los requisitos de seguridad antes de que el algoritmo pueda usarse en aplicaciones críticas, como las relacionadas con las finanzas, antes de que pueda usarse en la aplicación.
- Debido a la falta de buenas prácticas de codificación, determinadas aplicaciones web son muy susceptibles a amenazas a la seguridad, como la inyección de bases de datos y ataques de secuencias de comandos entre sitios.
- Se recomienda que las organizaciones consulten ISO/IEC 15408 para obtener más información sobre la evaluación de la seguridad de TI y cómo realizarla.
¿Cuáles son los cambios con respecto a ISO 27001:2013?
El Anexo A 8.28 es un Nuevo control del Anexo A que se ha añadido a la norma ISO 27001:2022.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
Cómo ayuda ISMS.online
Si es completamente nuevo en seguridad de la información o desea aprender sobre ISO 27001 de manera concisa sin tener que perder tiempo leyendo documentos largos y detallados o aprendiendo desde cero, nuestra plataforma está diseñada específicamente para usted.
Con ISMS.Online, accederá fácilmente a plantillas de documentos, listas de verificación y políticas que pueden personalizarse para satisfacer sus necesidades.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.