ISO 27001:2022 Anexo A Control 8.24

Uso de criptografía

Reserve una demostración

Primer plano,grupo,jóvenes,compañeros de trabajo,juntos,discutiendo,creativa,proyecto,durante,trabajo

Al transmitir información entre redes y dispositivos, los ciberatacantes pueden intentar robar datos confidenciales, alterar el contenido, imitar a los remitentes/destinatarios para obtener acceso no autorizado o interceptar el intercambio.

Los ciberdelincuentes pueden emplear hombre en el medio (MITM) ataques, interceptando transmisiones de datos y haciéndose pasar por el servidor para lograr que el remitente revele las credenciales de inicio de sesión. Con estas credenciales, pueden obtener acceso a los sistemas y poner en peligro datos confidenciales.

La criptografía, como el cifrado, puede salvaguardar eficazmente la confidencialidad, la integridad y la disponibilidad de la información durante su tránsito.

Las técnicas criptográficas pueden mantener seguros los activos de información cuando no están en uso. Garantizan que los datos estén protegidos de cualquier acceso o modificación no autorizados.

El Anexo A 27001 de ISO 2022:8.24 describe cómo las organizaciones pueden crear y aplicar regulaciones y procesos relacionados con la utilización de la criptografía.

Propósito de ISO 27001:2022 Anexo A 8.24

ISO 27001:2022 El Anexo A 8.24 permite a las organizaciones asegurar la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información mediante la aplicación correcta de la criptografía y satisfaciendo los siguientes criterios:

  • Los requisitos comerciales son imprescindibles.

  • Asegurar seguridad de la información mediante la implementación de requisitos estrictos.

  • Los mandatos legales, contractuales y organizativos requieren el uso de criptografía.

Propiedad en el Anexo A 8.24

Cumplir con el Anexo A 8.24 requiere la implementación de una política sobre criptografía, el establecimiento de un proceso de gestión de claves eficiente y la determinación del tipo de técnica criptográfica aplicable a la clasificación de datos de un activo de información determinado.

El Director de Información de Seguridad debe ser responsable de establecer regulaciones y protocolos adecuados con respecto a las claves criptográficas.

Saltar al tema

Orientación general sobre el cumplimiento de ISO 27001:2022 Anexo A 8.24

ISO 27001:2022 anexo A El Control 8.24 estipula siete requisitos que las organizaciones deben observar al emplear métodos criptográficos:

  1. Las organizaciones deben contar con una política con respecto al uso de la criptografía, para maximizar sus beneficios y reducir los riesgos. Esta política también debe describir los principios generales de protección de la información.

  2. Las organizaciones deben tener en cuenta cuán delicados son sus recursos de información, así como el nivel de clasificación de la información que se les asigna, al seleccionar el tipo, la potencia y la calidad del algoritmo de cifrado.

  3. Las organizaciones deben utilizar enfoques criptográficos al transferir información a dispositivos portátiles, equipos multimedia o cuando se almacena en ellos.

  4. Las organizaciones deben abordar cualquier asunto relacionado con la gestión de claves, como formar y proteger claves criptográficas y tener un plan de recuperación de datos en caso de que las claves falten o sean vulnerables.

  5. Las organizaciones deben definir las funciones y responsabilidades de lo siguiente:

    • Se deben establecer y hacer cumplir las reglas para el uso de técnicas criptográficas.

    • Manejo de claves, incluida su generación.

  6. La organización adopta y aprueba estándares que abarcan los algoritmos criptográficos, la solidez del cifrado y las prácticas de uso de la criptografía.

  7. Las organizaciones deben considerar el impacto potencial del cifrado en la eficacia de los controles de inspección de contenido, como la detección de malware.

ISO 27001:2022 Anexo A 8.24 enfatiza que las organizaciones deben considerar los requisitos y restricciones legales que pueden afectar el uso de la criptografía, incluida la transferencia internacional de información cifrada.

Las organizaciones deben tener en cuenta la responsabilidad y la continuidad de los servicios cuando celebran acuerdos de servicio con proveedores externos de servicios criptográficos.

Orientación sobre la gestión de claves

Las organizaciones deben configurar y seguir procesos seguros para la generación, almacenamiento, obtención y eliminación de claves criptográficas.

Las organizaciones deben instalar un sistema sólido de gestión de claves que incluya regulaciones, procedimientos y criterios para:

  • Es necesario generar claves criptográficas para una variedad de sistemas y aplicaciones.

  • La expedición y obtención de certificados de clave pública.

  • Distribuir claves a los destinatarios previstos, incluido el procedimiento de activación de claves.

  • Las claves deben guardarse de forma segura. Quienes estén autorizados a acceder a ellos podrán hacerlo con las credenciales necesarias.

  • Cambio de llaves.

  • El manejo de claves comprometidas debe tomarse en serio.

  • Si las claves se ven comprometidas o un personal autorizado abandona una organización, deben ser revocadas.

  • Recuperación de llaves perdidas.

  • La copia de seguridad y el archivo de claves deben realizarse con regularidad.

  • Destruyendo llaves.

  • Mantener un registro de todas las actividades vinculadas a cada clave.

  • Establecer las fechas de activación y desactivación de claves.

  • Acceso a claves en respuesta a solicitudes legales.

Finalmente, es esencial que las organizaciones sean conscientes de los tres riesgos principales que describe esta guía complementaria:

  1. Las claves seguras y privadas deben protegerse contra el uso no autorizado.

  2. La protección del equipo utilizado para crear o almacenar claves de cifrado debe realizarse con la seguridad física medidas.

  3. Las organizaciones deben garantizar la validez de sus claves públicas.

¿Cuáles son los beneficios de la criptografía?

ISO 27001:2022 Anexo A 8.24 establece que la criptografía se puede utilizar para ayudar a las organizaciones a alcanzar cuatro objetivos de seguridad de la información. Estos objetivos incluyen verificar la autenticidad de las claves públicas a través de procesos de gestión de claves públicas:

  1. La criptografía garantiza que se preserve la confidencialidad de los datos, tanto en tránsito como cuando se almacenan.

  2. Las firmas digitales y los códigos de autenticación garantizan que la información comunicada sea genuina y confiable.

  3. Los métodos criptográficos garantizan que todos los eventos o acciones tomadas, incluida la recepción de información, no serán rechazados.

  4. La autenticación mediante métodos criptográficos permite a las organizaciones validar la identidad de los usuarios que buscan acceso a sistemas y aplicaciones.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.24 reemplaza ISO 27001:2013 Anexo A 10.1.1 y 10.1.2 en la norma revisada de 2022.

El contenido de los dos es casi el mismo, aunque existen algunas modificaciones estructurales.

Mientras que la versión de 2013 tenía dos controles separados, 10.1.1 y 10.1.2, para el uso de criptografía, la versión de 2022 los consolidó en un Control del Anexo A, 8.24.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

Cómo ayuda ISMS.online

ISMS.Online es el principal software de sistema de gestión ISO 27001, que ayuda a las empresas a cumplir con ISO 27001:2022 y garantizar que sus políticas y procedimientos de seguridad cumplan con el estándar.

Este plataforma basada en la nube ofrece un conjunto completo de herramientas para ayudar a las organizaciones a implementar un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001.

Llegar y reserve una demostración hoy.

He logrado ISO 27001 de la manera más difícil, así que realmente valoro cuánto tiempo nos ahorró lograr la certificación ISO 27001.

Carlos Vaughan
Líder de seguridad de información, MetCloud

Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más