ISO 27002:2022 – Control 5.23 – Seguridad de la Información para el Uso de Servicios en la Nube

La norma ISO 27002:2022 Control 5.23 proporciona orientación sobre la gestión de los riesgos de seguridad de la información en los servicios en la nube, cubriendo la adquisición, el uso, la selección de proveedores, las garantías de seguridad y la gestión de incidentes para garantizar el cumplimiento y la mitigación de riesgos.

Solicite una demo
Autor
Max Edwards
Actualizado 11 de febrero de 2025
LinkedIn Twitter Twitter

Propósito del Control 5.23

5.23 es un nuevo control que describe los procesos que se requieren para la adquisición, uso, gestión y salida de servicios en la nube, en relación con las características únicas de la organización. requisitos de seguridad de la información.

El Control 5.23 permite a las organizaciones especificar primero y luego gestionar y administrar la seguridad de la información conceptos relacionados con los servicios en la nube, en su calidad de “cliente de servicios en la nube”.

5.23 es una control preventivo que mantiene el riesgo especificando políticas y procedimientos que gobernar la seguridad de la información, dentro del ámbito de los servicios comerciales en la nube.

Atributos de Control 5.23

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad#Proteger#Seguridad en las relaciones con proveedores#Gobernanza y Ecosistema
#Integridad#Proteccion
#Disponibilidad

Propiedad del Control 5.23

Dada la proliferación de servicios en la nube durante la última década, Control 5.23 contiene una serie de procedimientos que abarcan muchos elementos distintos de la operación de una organización.

Dado que no todos los servicios en la nube son específicos de las TIC (aunque podría afirmarse razonablemente que la mayoría lo son), la propiedad del Control 5.22 debe distribuirse entre los CTO or Directora de Operaciones, dependiendo de las circunstancias operativas prevalecientes.



Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


Orientación sobre Control 5.23 – Obligaciones Organizacionales

El cumplimiento del Control 5.23 implica adherirse a lo que se conoce como enfoque 'temático específico' a servicios en la nube y seguridad de la información.

Dada la variedad de servicios en la nube que se ofrecen, los enfoques temáticos específicos alientan a las organizaciones a crear políticas de servicios en la nube que se adapten a funciones comerciales individuales, en lugar de adherirse a un marco general. política que se aplica a la seguridad de la información y servicios en la nube en todos los ámbitos.

Cabe señalar que ISO considera el cumplimiento del Control 5.23 como un esfuerzo de colaboración entre la organización y su socio de servicios en la nube. El Control 5.23 también debe estar estrechamente alineado con los Controles 5.21 y 5.22, que tratan con información gestión en la cadena de suministro y la gestión de servicios de proveedores respectivamente.

Independientemente de cómo decida operar una organización, el Control 5.23 no debe tomarse de forma aislada y debe complementar los esfuerzos existentes para gestionar las relaciones con los proveedores.

Con la seguridad de la información a la vanguardia, la organización debe definir:

  1. Cualquier requisito de seguridad relevante o inquietud involucrada en el uso de una plataforma en la nube.
  2. Los criterios involucrados en la selección de un proveedor de servicios en la nube y cómo se utilizarán sus servicios.
  3. Descripción granular de roles y responsabilidades relevantes que rigen cómo se utilizarán los servicios en la nube en toda la organización.
  4. Precisamente qué áreas de seguridad de la información controla el proveedor de servicios en la nube y cuáles son competencia de la propia organización.
  5. Las mejores formas de recopilar primero y luego utilizar cualquier componente de servicio relacionado con la seguridad de la información proporcionado por la plataforma de servicios en la nube.
  6. Cómo obtener garantías categóricas sobre cualquier control relacionado con la seguridad de la información promulgado por el proveedor de servicios en la nube.
  7. Los pasos que se deben tomar para gestionar los cambios, la comunicación y los controles en múltiples plataformas en la nube distintas, y no siempre desde el mismo proveedor.
  8. Procedimientos de gestión de incidentes que se ocupan únicamente de la prestación de servicios en la nube.
  9. Cómo espera la organización gestionar su uso continuo y/o adopción generalizada de plataformas en la nube, en línea con sus seguridad de la información más amplia obligaciones.
  10. Una estrategia para el cese o modificación de los servicios en la nube, ya sea proveedor por proveedor o mediante el proceso de migración de la nube a las instalaciones.


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


Orientación sobre el control 5.23 – Acuerdos de servicios en la nube

Control 5.23 reconoce que, a diferencia de otras relaciones con proveedores, los acuerdos de servicios en la nube son documentos rígidos que no se pueden modificar en la gran mayoría de los casos.

Teniendo esto en cuenta, las organizaciones deben examinar los acuerdos de servicios en la nube y asegurarse de que se cumplan cuatro requisitos operativos principales:

  1. Confidencialidad
  2. Seguridad/integridad de datos
  3. Servicio disponible
  4. Manejo de información

Al igual que con otros contratos de proveedores, antes de su aceptación, los acuerdos de servicios en la nube deben someterse a una evaluación exhaustiva de riesgos que resalta los problemas potenciales en su origen.

Como mínimo, la organización debe celebrar un acuerdo de servicios en la nube sólo cuando esté convencida de que se han cumplido las siguientes 10 disposiciones:

  1. Los servicios en la nube se aprovisionan e implementan en función de los requisitos únicos de la organización relacionados con su área de operación, incluidos los estándares y prácticas aceptados por la industria para la arquitectura basada en la nube y la infraestructura alojada.
  2. El acceso a cualquier plataforma en la nube cumple con los requisitos de seguridad de la información fronteriza de la organización.
  3. Se da la debida consideración a los servicios antimalware y antivirus, incluida la supervisión proactiva y la protección contra amenazas.
  4. El proveedor de la nube se adhiere a un conjunto predefinido de estipulaciones de procesamiento y almacenamiento de datos, relacionadas con una o más regiones globales y entornos regulatorios distintos.
  5. Se brinda soporte proactivo a la organización, en caso de que la plataforma en la nube sufra una falla catastrófica o un incidente relacionado con la seguridad de la información.
  6. Si surge la necesidad de subcontratar o subcontratar cualquier elemento de la plataforma en la nube, los requisitos de seguridad de la información del proveedor siguen siendo una consideración constante.
  7. Si la organización necesita ayuda para recopilar información digital para cualquier propósito relevante (aplicación de la ley, alineación regulatoria, fines comerciales), el proveedor de servicios en la nube apoyará a la organización en la medida de lo posible.
  8. Al final de la relación, el proveedor de servicios en la nube debe brindar soporte razonable y disponibilidad adecuada durante el período de transición o desmantelamiento.
  9. El proveedor de servicios en la nube debe operar con un plan BUDR sólido y centrado en realizar copias de seguridad adecuadas de los datos de la organización.
  10. La transferencia de todos los datos complementarios relevantes del proveedor de servicios en la nube a la organización, incluida la información de configuración y el código sobre los que la organización tiene derecho.

Información complementaria sobre control 5.23

Además de la guía anterior, el Control 5.23 sugiere que las organizaciones establezcan una estrecha relación de trabajo con los proveedores de servicios en la nube, de acuerdo con el importante servicio que brindan no solo en términos de seguridad de la información, sino en toda la operación comercial de una organización.

Las organizaciones, cuando sea posible, deben buscar las siguientes estipulaciones de los proveedores de servicios en la nube para mejorar la resiliencia operativa y disfrutar de mayores niveles de seguridad de la información:

  1. Todas las modificaciones de la infraestructura deben comunicarse con anticipación para informar el conjunto de estándares de seguridad de la información de la propia organización.
  2. La organización necesita ser mantenido informado sobre cualquier cambio en los procedimientos de almacenamiento de datos que impliquen la migración de datos a una jurisdicción o región global diferente.
  3. Cualquier intención por parte del proveedor de servicios en la nube de utilizar proveedores de “nube pares” o subcontratar áreas de sus operaciones a subcontratistas que puedan tener implicaciones de seguridad de la información para la organización.

Controles de apoyo

  • 5.21
  • 5.22


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


Cambios desde ISO 27002:2013

Control 5.23 es un nuevo control que no figura en ISO 27002:2013 de ninguna manera.

Nuevos controles ISO 27002

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.1208.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.1709.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

ISMS.online agiliza la ISO 27002 proceso de implementación al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.

Cuando utilice ISMS.online, podrá:

  • Crear un SGSI que sea compatible con ISO 27001 normas
  • Realizar tareas y presentar pruebas que indiquen que han cumplido con los requisitos de la norma.
  • Asigne tareas y realice un seguimiento del progreso hacia el cumplimiento de la ley.
  • Obtenga acceso a un equipo especializado de asesores que lo ayudarán en su camino hacia el cumplimiento.

Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!