ISO 27001:2022 Anexo A Control 8.7

Protección contra malware

Reserve una demostración

grupo,de,feliz,compañeros de trabajo,discutiendo,en,conferencia,sala

Propósito de ISO 27001:2022 Anexo A 8.7

El malware es una de las mayores amenazas para la continuidad del negocio y la seguridad de los datos en la era digital.

El mundo empresarial global enfrenta innumerables peligros diarios provenientes de una amplia gama de vectores de ataque destinados a obtener acceso a sistemas y datos confidenciales sin permiso, extraer datos y dinero, engañar al personal desprevenido y utilizar datos rescatados para exigir grandes rescates.

La protección segura contra malware debe ser una prioridad al crear una política de seguridad de la información. Es esencial que las organizaciones tomen medidas para protegerse contra el software malicioso.

ISO 27001:2022 El Anexo A 8.7 describe una variedad de medidas para educar al personal sobre los riesgos del software malicioso e implementar medidas preventivas efectivas para proteger contra amenazas internas y externas, evitando así interrupciones y pérdida de datos.

Propiedad del Anexo A 8.7

La protección contra malware es un tema amplio que abarca múltiples funciones comerciales con distintos grados de riesgo y numerosos controles ISO. Como tal, la responsabilidad del Anexo A 27001 de ISO 2022:8.7 debe recaer en el Director de Información de Seguridad, o equivalente. El personal de administración de TIC y los usuarios estándar deben tomar medidas prácticas para protegerse contra el malware.

Saltar al tema

Orientación sobre ISO 27001:2022 Anexo A 8.7 Cumplimiento

El Anexo A 8.7 exige que las empresas ejecuten una defensa contra malware que abarca cuatro aspectos principales:

  1. Sistemas controlados y acceso a cuentas.

  2. Gestión del cambio.

  3. Software antimalware.

  4. Organizacionales: seguridad de la información Sensibilización (formación de usuarios).

ISO advierte contra la creencia de que el software antimalware es suficiente para proporcionar un entorno seguro. El Anexo A 27001 de ISO 2022:8.7 exige que las organizaciones adopten una estrategia de extremo a extremo contra el malware, una que comience con educar a los usuarios y culmine en una red segura que minimice la posibilidad de intrusión de una multitud de fuentes de ataque.

Las organizaciones deben tomar medidas para lograr su objetivo, incluyendo:

  • Desalentar el empleo de software no aprobado (consulte el Anexo A 8.19 y el Anexo A 8.32).

  • Detenga el acceso a sitios maliciosos o inadecuados.

  • Reducir el número de susceptibilidades existentes en su red que podrían ser aprovechadas por malware o personas con malas intenciones (observar el Anexo A 8.8 y el Anexo A 8.19).

  • Realizar evaluaciones frecuentes de software para detectar software no autorizado, modificaciones del sistema y/o datos en la red.

  • Proteja datos y aplicaciones con un riesgo mínimo, mediante adquisición interna o externa.

  • Las organizaciones deben implementar una política de detección de malware que implique análisis regulares y completos de todos los sistemas y archivos pertinentes, adaptados a los distintos riesgos de cada área. Se debe adoptar un enfoque de "defensa en profundidad" que incluya dispositivos terminales y controles de puerta de enlace, teniendo en cuenta numerosos vectores de ataque (por ejemplo, ransomware).

  • Evite las intrusiones provenientes de protocolos y procedimientos de emergencia, particularmente cuando hay un incidente o actividades de mantenimiento de alto riesgo.

  • Redactar un proceso que permita al personal técnico desactivar algunos o todos los esfuerzos antimalware cuando impidan las operaciones de la organización.

  • Implementar un sólido plan de respaldo y recuperación ante desastres (BUDR) que facilite la reanudación de las operaciones de la organización lo antes posible, después de la interrupción (consulte el Anexo A 8.13). Esto debería incluir procedimientos para el software que no puede protegerse con software antimalware (por ejemplo, software de maquinaria).

  • Divida la red y/o los espacios de trabajo digitales y virtuales en secciones para evitar daños catastróficos en caso de que se produzca un ataque.

  • Proporcionar a todo el personal capacitación antimalware para mejorar su comprensión de una gran variedad de temas, que incluyen (pero no se limitan a):

    • Seguridad del correo

    • Instalación de software malicioso

    • Ingeniería social

  • Recopile información sobre los avances más recientes en seguridad contra malware pertenecientes a la industria.

  • Asegúrese de que todas las notificaciones sobre posibles ataques de malware (especialmente de proveedores de software y hardware) provengan de una fuente confiable y sean precisas.

Controles adjuntos al Anexo A

  • ISO 27001:2022 Anexo A 8.13

  • ISO 27001:2022 Anexo A 8.19

  • ISO 27001:2022 Anexo A 8.32

  • ISO 27001:2022 Anexo A 8.8

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.7 reemplaza a ISO 27001:2013 Anexo A 12.2.1 (que abordaba los controles contra el malware).

ISO 27001:2022 Anexo A 8.7 es similar a ISO 27001:2013 Anexo A 12.2.1, pero a algunos de los consejos adicionales se les ha dado mayor prioridad, considerando su importancia para los programas antimalware de las empresas. En concreto, incluye:

  • Garantizar la seguridad contra el malware durante los períodos de mantenimiento es fundamental.

ISO 27001:2013 Anexo A 12.2.1 solicita a las organizaciones que piensen en utilizar dos plataformas antimalware diferentes, mientras que ISO 27001:2022 Anexo A 8.7 se contenta con una única solución integrada.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

Cómo ayuda ISMS.online

Nuestra plataforma le brinda paneles personalizables que le permiten comprender en tiempo real su situación de cumplimiento.

Puede supervisar y controlar la totalidad de su conformidad con ISO 27001:2022 desde una ubicación, incluido gestión de auditoría, análisis de brechas, gestión de capacitación, evaluación de riesgos y más.

Esta plataforma integral ofrece una solución simple e integrada que se puede utilizar las 27001 horas del día desde cualquier dispositivo conectado a Internet. Facilita una colaboración fluida y segura entre los empleados para monitorear los riesgos de seguridad y realizar un seguimiento del progreso de la organización para lograr la certificación ISO 2022:XNUMX.

Contáctenos ahora para organizar una demostración.

Vea nuestra plataforma
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Tómate 30 minutos para ver cómo ISMS.online te ahorra horas (¡y horas!)

Agende una reunión

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más