ISO 27001:2022 Anexo A Control 8.28

Directrices de cumplimiento de la norma ISO 27001:2022 Anexo A 8.28

Las organizaciones deben desarrollar e implementar procesos de codificación seguros que se apliquen a productos suministrados por partes externas y componentes de software de código abierto, como se describe en ISO 27001 Anexo A Control 8.28.

Además, las organizaciones deben mantenerse informadas sobre la evolución de las amenazas a la seguridad del mundo real y la información más reciente sobre vulnerabilidades de seguridad del software conocidas o potenciales. Al utilizar este enfoque, las organizaciones pueden desarrollar principios de codificación sólidos y seguros para combatir ciberamenazas en evolución.

Orientación complementaria sobre planificación

Es esencial que tanto los nuevos proyectos de codificación como las operaciones de reutilización de software cumplan con los principios de codificación de software segura.

Estos principios deben respetarse tanto al desarrollar software internamente como al transferir productos o servicios de software.

Las organizaciones deben considerar los siguientes factores al desarrollar un plan para los principios de codificación segura y determinar los requisitos previos para la codificación segura:

• Las expectativas de seguridad deben adaptarse a las necesidades específicas de la organización y se deben establecer principios aprobados para que el código de software seguro se aplique al software interno. desarrollo y subcontratación componentes.
• Las organizaciones deben identificar y documentar los errores de diseño de codificación y las prácticas de codificación deficientes más frecuentes e históricos para evitar violaciones de seguridad de los datos.
• Las organizaciones deben implementar y configurar herramientas de desarrollo de software para garantizar la seguridad de todo el código creado. Los entornos de desarrollo integrados (IDE) son un ejemplo de este tipo de herramientas.
• Las herramientas de desarrollo de software deben proporcionar orientación e instrucciones para ayudar a las organizaciones a cumplir con las directrices e instrucciones.
• Las organizaciones deben revisar, mantener y utilizar de forma segura las herramientas de desarrollo, como los compiladores.

Orientación complementaria sobre seguridad durante la codificación

Para garantizar prácticas y procedimientos de codificación seguros, se debe considerar lo siguiente durante el proceso de codificación:

• Los principios de codificación de software seguro deben adaptarse a cada lenguaje y técnica de programación.
• El desarrollo basado en pruebas y la programación en pares son ejemplos de técnicas y métodos de programación seguros.
• Implementación de técnicas de programación estructurada.
• Documentación del código y eliminación de defectos del código.
• Está prohibido el uso de métodos de codificación de software inseguros, como ejemplos de códigos no aprobados o contraseñas codificadas.

Se debe realizar una prueba de seguridad durante y después del desarrollo, como se especifica en el Control 27001 del Anexo A de ISO 8.29.

Las organizaciones deben considerar los siguientes elementos antes de implementar el software en un entorno de aplicación en vivo:

• ¿Existe una superficie de ataque?
• ¿Se sigue el principio de privilegio mínimo?
• Analizar los errores de programación más frecuentes y documentar su eliminación.

Orientación complementaria para el proceso de revisión

Tras la implementación del Código en el entorno de producción

• Se debe utilizar un método seguro para aplicar las actualizaciones.
• Por ISO 27001:2022 Anexo A Control 8.8, se deben abordar las vulnerabilidades de seguridad.
• Se deben mantener registros de los ataques y errores sospechosos en los sistemas de información, y estos registros deben revisarse periódicamente para que se puedan realizar los cambios apropiados.
• Se debe utilizar herramientas como herramientas de gestión para evitar el acceso, uso o modificación no autorizados del código fuente.

Las organizaciones deben considerar los siguientes factores al utilizar herramientas externas

• Se debe realizar un seguimiento y actualización periódicos de las bibliotecas externas según sus ciclos de lanzamiento.
• Es esencial realizar una revisión, selección y autorización exhaustivas de los componentes del software, en particular los relacionados con la criptografía y la autenticación.
• Obtención de licencias de componentes externos y garantía de su seguridad.
• Debería haber un sistema para rastrear y mantener el software. Además, hay que asegurarse de que procede de una fuente fiable.
• Es esencial disponer de recursos para el desarrollo a largo plazo.

Se deben tener en cuenta los siguientes factores al realizar cambios en un paquete de software:

• Los procesos de integridad o los controles incorporados pueden exponer a una organización a riesgos.
• Es esencial determinar si el proveedor ha dado su consentimiento a los cambios.
• ¿Se puede obtener el consentimiento del proveedor para realizar actualizaciones periódicas del software?
• El impacto probable del mantenimiento del software a medida que cambia.
• ¿Qué efecto tendrán los cambios en otros componentes de software que utiliza la organización?

Orientación adicional sobre ISO 27001:2022 Anexo A 8.28

Las organizaciones deben asegurarse de utilizar código relevante para la seguridad siempre que sea necesario y que sea resistente a la manipulación.

El Anexo A Control 8.28 de ISO 27001:2022 hace las siguientes recomendaciones para el código relevante para la seguridad:

• Si bien los programas descargados mediante código binario incluirán código relacionado con la seguridad en la propia aplicación, su alcance estará limitado a los datos almacenados internamente dentro de la aplicación.
• Realizar un seguimiento del código relevante para la seguridad solo es útil si se ejecuta en un servidor al que el usuario no puede acceder y está separado de los procesos que lo utilizan para que sus datos se mantengan seguros en otra base de datos y se separen de forma segura de los procesos. que lo use. Es posible utilizar un servicio en la nube para ejecutar un código interpretado y puede restringir el acceso al código a administradores privilegiados para restringir el acceso al código. La recomendación es que estos derechos de acceso se protejan con privilegios de administrador justo a tiempo y mecanismos de autenticación sólidos que solo otorguen acceso al sitio en el momento adecuado.
• Se debe implementar una configuración adecuada en los servidores web para evitar el acceso no autorizado y la navegación en los directorios del servidor.
• Para desarrollar código de aplicación seguro, debe asumir que el código es vulnerable a ataques debido a errores de codificación y acciones tomadas por actores maliciosos. Una aplicación crítica debe diseñarse para ser inmune a fallas internas de una manera que evite que sea propensa a errores. Por ejemplo, al evaluar el resultado de un algoritmo, es posible garantizar que el resultado cumpla con los requisitos de seguridad antes de que el algoritmo pueda usarse en aplicaciones críticas, como las relacionadas con las finanzas, antes de que pueda usarse en la aplicación.
• Debido a la falta de buenas prácticas de codificación, determinadas aplicaciones web son muy susceptibles a amenazas a la seguridad, como la inyección de bases de datos y ataques de secuencias de comandos entre sitios.
• Se recomienda que las organizaciones consulten ISO/IEC 15408 para obtener más información sobre la evaluación de la seguridad de TI y cómo realizarla.

¿Cuáles son los cambios con respecto a ISO 27001:2013?

El Anexo A 8.28 es un Nuevo control del Anexo A que se ha añadido a la norma ISO 27001:2022.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

Cómo ayuda ISMS.online

Si es completamente nuevo en seguridad de la información o desea aprender sobre ISO 27001 de manera concisa sin tener que perder tiempo leyendo documentos largos y detallados o aprendiendo desde cero, nuestra plataforma está diseñada específicamente para usted.

Con ISMS.Online, accederá fácilmente a plantillas de documentos, listas de verificación y políticas que pueden personalizarse para satisfacer sus necesidades.

¿Quieres ver cómo funciona?

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.