Cómo garantizar un cronometraje preciso: explicación del control 27002 de la norma ISO 8.17
Poder contar con una hora sincronizada y precisa en todos los sistemas de información de una organización es de suma importancia no sólo para el funcionamiento continuo de los sistemas comerciales de una empresa, sino también en caso de un incidente relacionado con las TIC.
La representación precisa del tiempo brinda a una organización la capacidad de proporcionarse a sí misma y a cualquier organismo regulador o encargado de hacer cumplir la ley una cuenta confiable de cómo se ha administrado la información, junto con las acciones de sus empleados y proveedores.
Propósito del Control 8.17
Control 8.17 es un doble propósito detective controlar eso mantiene el riesgo mediante la implementación de controles que mantengan una sincronización precisa y confiable de los relojes del sistema de información, para ayudar en las investigaciones internas y externas y el monitoreo de incidentes.
Tabla de Atributos de Control 8.17
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Detective | #Integridad | #Proteger | #Gestión de eventos de seguridad de la información | #Proteccion |
| #Detectar | #Defensa |
Propiedad del Control 8.17
El Control 8.17 se ocupa principalmente de cuestiones técnicas, en forma de fuentes de datos externas (relojes atómicos, etc.) vinculadas a los sistemas TIC de una organización.
Como tal, la propiedad debe residir en el Jefe de TI (o equivalente organizacional), con responsabilidad por la integridad y eficiencia del día a día de la infraestructura de TIC de una organización.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre control 8.17
Control 8.17 evita proporcionar a las organizaciones un procedimiento paso a paso para la gestión de los relojes del sistema y, en cambio, ofrece una orientación amplia sobre cómo hacer uso de puntos de referencia confiables.
El Control 8.17 pide a las organizaciones que establezcan un tiempo de referencia estándar que se puede utilizar en todos los sistemas comerciales, logísticos y de mantenimiento como fuente confiable de fecha y hora para todas las necesidades de la organización.
Las organizaciones deberían:
- Proyecto de requisitos internos y externos para tres aspectos de la sincronización del reloj:
- Representación del tiempo
- Sincronización confiable
- Exactitud
- Al abordar dichos requisitos, las organizaciones deben abordar sus necesidades desde 6 ángulos distintos:
- Legal
- Estatutario
- Regulatorio
- Contractual
- Estándares
- Monitoreo interno
- Utilice una transmisión horaria por radio conectada a un reloj atómico como punto de referencia singular, junto con la implementación de protocolos clave (NTP, PTP) para garantizar la adherencia en toda la red.
- Considere la posibilidad de gestionar dos fuentes de tiempo separadas para mejorar la redundancia.
Orientación: configuraciones híbridas
Muy a menudo, las organizaciones utilizan sistemas locales y basados en la nube en paralelo.
Las plataformas de infraestructura y software alojadas en la nube suelen ser gestionadas por el propio proveedor y, por lo tanto, utilizarán una fuente de tiempo independiente de la propia infraestructura de la organización.
Las discrepancias de tiempo en el hardware y los sistemas administrados y no administrados deben tenerse en cuenta a intervalos regulares y cualquier diferencia debe registrarse para mitigar la confusión en futuras investigaciones.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-8.17 reemplaza a 27002:2013-12.4.4 (Sincronización de reloj).
27002:2022-8.17 replica gran parte de la misma información contenida en su contraparte de 2013, con una excepción notable: 27002:2022-8.17 contiene consejos sobre cómo gestionar fuentes de tiempo desde la nube pública y privada, y las implicaciones del uso de sistemas en línea. premisa que puede sincronizarse con una fuente de tiempo separada.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
En ISMS.online, nuestra plataforma basada en la nube le ayuda a crear, mantener y auditar su sistema de gestión de seguridad de la información (SGSI) basado en los estándares ISO 27001. Le proporciona plantillas y herramientas personalizables que puede utilizar para seguir los requisitos de ISO 27002.
Al utilizar esta plataforma, puede establecer su SGSI de acuerdo con el estándar internacional y utilizar las listas de verificación proporcionadas para garantizar que sus procesos de seguridad de la información estén en buenas condiciones. También puede utilizar ISMS.online para evaluar riesgos y vulnerabilidades con el fin de identificar puntos débiles. puntos en su infraestructura existente que necesitan atención inmediata.
Con todas estas herramientas y recursos, ISMS.online puede, en última instancia, ayudarle a demostrar el cumplimiento de la norma ISO 27002.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
