ISO 27001:2022 Anexo A 8.24 – Uso de criptografía

• See Norma ISO 27002:2022 8.24 para obtener más información.
• See ISO 27001:2013 Anexo A 10.1.1 para obtener más información.
• See ISO 27001:2013 Anexo A 10.1.2 para obtener más información.

Anexo A 8.24 Explicación: Implementación de controles criptográficos seguros

Al transmitir información entre redes y dispositivos, los ciberatacantes pueden intentar robar datos confidenciales, alterar el contenido, imitar a los remitentes/destinatarios para obtener acceso no autorizado o interceptar el intercambio.

Los ciberdelincuentes pueden emplear hombre en el medio (MITM) ataques, interceptando transmisiones de datos y haciéndose pasar por el servidor para lograr que el remitente revele las credenciales de inicio de sesión. Con estas credenciales, pueden obtener acceso a los sistemas y poner en peligro datos confidenciales.

La criptografía, como el cifrado, puede salvaguardar eficazmente la confidencialidad, la integridad y la disponibilidad de la información durante su tránsito.

Las técnicas criptográficas pueden mantener seguros los activos de información cuando no están en uso. Garantizan que los datos estén protegidos de cualquier acceso o modificación no autorizados.

El Anexo A 27001 de ISO 2022:8.24 describe cómo las organizaciones pueden crear y aplicar regulaciones y procesos relacionados con la utilización de la criptografía.

Propósito de ISO 27001:2022 Anexo A 8.24

ISO 27001:2022 El Anexo A 8.24 permite a las organizaciones asegurar la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información mediante la aplicación correcta de la criptografía y satisfaciendo los siguientes criterios:

• Los requisitos comerciales son imprescindibles.
• Asegurar seguridad de la información mediante la implementación de requisitos estrictos.
• Los mandatos legales, contractuales y organizativos requieren el uso de criptografía.

Propiedad en el Anexo A 8.24

Cumplir con el Anexo A 8.24 requiere la implementación de una política sobre criptografía, el establecimiento de un proceso de gestión de claves eficiente y la determinación del tipo de técnica criptográfica aplicable a la clasificación de datos de un activo de información determinado.

Los Director de Información de Seguridad debe ser responsable de establecer regulaciones y protocolos adecuados con respecto a las claves criptográficas.

Orientación general sobre el cumplimiento de ISO 27001:2022 Anexo A 8.24

ISO 27001:2022 anexo A El Control 8.24 estipula siete requisitos que las organizaciones deben observar al emplear métodos criptográficos:

1. Las organizaciones deben contar con una política con respecto al uso de la criptografía, para maximizar sus beneficios y reducir los riesgos. Esta política también debe describir los principios generales de protección de la información.
2. Las organizaciones deben tener en cuenta cuán delicados son sus recursos de información, así como el nivel de clasificación de la información que se les asigna, al seleccionar el tipo, la potencia y la calidad del algoritmo de cifrado.
3. Las organizaciones deben utilizar enfoques criptográficos al transferir información a dispositivos portátiles, equipos multimedia o cuando se almacena en ellos.
4. Las organizaciones deben abordar cualquier asunto relacionado con la gestión de claves, como formar y proteger claves criptográficas y tener un plan de recuperación de datos en caso de que las claves falten o sean vulnerables.
5. Las organizaciones deben definir las funciones y responsabilidades de lo siguiente:
• Se deben establecer y hacer cumplir las reglas para el uso de técnicas criptográficas.
• Manejo de claves, incluida su generación.
6. La organización adopta y aprueba estándares que abarcan los algoritmos criptográficos, la solidez del cifrado y las prácticas de uso de la criptografía.
7. Las organizaciones deben considerar el impacto potencial del cifrado en la eficacia de los controles de inspección de contenido, como la detección de malware.

ISO 27001:2022 Anexo A 8.24 enfatiza que las organizaciones deben considerar los requisitos y restricciones legales que pueden afectar el uso de la criptografía, incluida la transferencia internacional de información cifrada.

Las organizaciones deben tener en cuenta la responsabilidad y la continuidad de los servicios cuando celebran acuerdos de servicio con proveedores externos de servicios criptográficos.

Orientación sobre la gestión de claves

Las organizaciones deben configurar y seguir procesos seguros para la generación, almacenamiento, obtención y eliminación de claves criptográficas.

Las organizaciones deben instalar un sistema sólido de gestión de claves que incluya regulaciones, procedimientos y criterios para:

• Es necesario generar claves criptográficas para una variedad de sistemas y aplicaciones.
• La expedición y obtención de certificados de clave pública.
• Distribuir claves a los destinatarios previstos, incluido el procedimiento de activación de claves.
• Las claves deben guardarse de forma segura. Quienes estén autorizados a acceder a ellos podrán hacerlo con las credenciales necesarias.
• Cambio de llaves.
• El manejo de claves comprometidas debe tomarse en serio.
• Si las claves se ven comprometidas o un personal autorizado abandona una organización, deben ser revocadas.
• Recuperación de llaves perdidas.
• La copia de seguridad y el archivo de claves deben realizarse con regularidad.
• Destruyendo llaves.
• Mantener un registro de todas las actividades vinculadas a cada clave.
• Establecer las fechas de activación y desactivación de claves.
• Acceso a claves en respuesta a solicitudes legales.

Finalmente, es esencial que las organizaciones sean conscientes de los tres riesgos principales que describe esta guía complementaria:

1. Las claves seguras y privadas deben protegerse contra el uso no autorizado.
2. La protección del equipo utilizado para crear o almacenar claves de cifrado debe realizarse con la seguridad física medidas.
3. Las organizaciones deben garantizar la validez de sus claves públicas.

¿Cuáles son los beneficios de la criptografía?

ISO 27001:2022 Anexo A 8.24 establece que la criptografía se puede utilizar para ayudar a las organizaciones a alcanzar cuatro objetivos de seguridad de la información. Estos objetivos incluyen verificar la autenticidad de las claves públicas a través de procesos de gestión de claves públicas:

1. La criptografía garantiza que se preserve la confidencialidad de los datos, tanto en tránsito como cuando se almacenan.
2. Las firmas digitales y los códigos de autenticación garantizan que la información comunicada sea genuina y confiable.
3. Los métodos criptográficos garantizan que todos los eventos o acciones tomadas, incluida la recepción de información, no serán rechazados.
4. La autenticación mediante métodos criptográficos permite a las organizaciones validar la identidad de los usuarios que buscan acceso a sistemas y aplicaciones.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.24 reemplaza ISO 27001:2013 Anexo A 10.1.1 y 10.1.2 en la norma revisada de 2022.

El contenido de los dos es casi el mismo, aunque existen algunas modificaciones estructurales.

Mientras que la versión de 2013 tenía dos controles separados, 10.1.1 y 10.1.2, para el uso de criptografía, la versión de 2022 los consolidó en un Control del Anexo A, 8.24.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

Cómo ayuda ISMS.online

ISMS.Online es el principal software de sistema de gestión ISO 27001, que ayuda a las empresas a cumplir con ISO 27001:2022 y garantizar que sus políticas y procedimientos de seguridad cumplan con el estándar.

Este plataforma basada en la nube ofrece un conjunto completo de herramientas para ayudar a las organizaciones a implementar un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001.

Llegar y reserve una demostración hoy.