El software operativo puede describirse en términos generales como cualquier pieza de software que la empresa utiliza activamente para llevar a cabo su operación, a diferencia del software de prueba o los proyectos de desarrollo.
Es de vital importancia garantizar que el software se instale y administre en una red determinada de acuerdo con un estricto conjunto de reglas y requisitos que minimicen el riesgo, mejoren la eficiencia y mantengan la seguridad dentro de las redes y servicios internos y externos.
Control 8.19 es un control preventivo esa mantiene el riesgo estableciendo un conjunto de reglas que rigen la instalación de software en sistemas operativos.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Configuración segura #Seguridad de aplicaciones | #Proteccion |
El Control 8.19 trata conceptos técnicos relacionados con el mantenimiento y gestión de sistemas informáticos operativos. Como tal, la propiedad debe recaer en el Jefe de TI o su equivalente organizacional.
Para gestionar de forma segura los cambios y las instalaciones en su red, las organizaciones deben:
En lo que respecta al software proporcionado por el proveedor (por ejemplo, cualquier software utilizado en la operación de maquinaria o para una función comercial personalizada), dicho software siempre debe mantenerse en buen estado de funcionamiento consultando las pautas del proveedor para una operación segura.
Es importante tener en cuenta que incluso cuando el software o los módulos de software se suministran y administran externamente (es decir, la organización no es responsable de ninguna actualización), se deben tomar medidas para garantizar que las actualizaciones de terceros no comprometan la integridad de la red de la organización.
Las organizaciones deben evitar el uso de software de proveedores no compatibles a menos que sea absolutamente necesario y considerar los riesgos de seguridad asociados al uso de aplicaciones redundantes en lugar de una actualización a sistemas más nuevos y seguros.
Si un proveedor requiere acceso a la red de una organización para realizar una instalación o actualización, la actividad debe monitorearse y validarse de acuerdo con todos los procedimientos de autorización relevantes (ver Control 5.22).
El único cumplimiento
solución que necesitas
Reserva tu demostración
El software debe actualizarse, instalarse y/o parchearse de acuerdo con los procedimientos de gestión de cambios publicados por la organización, para garantizar la uniformidad con otras áreas del negocio.
Siempre que se identifica un parche que elimina totalmente una vulnerabilidad (o una serie de vulnerabilidades) o ayuda de alguna manera a mejorar la operación de seguridad de la información de la organización, dichos cambios casi siempre deben aplicarse (aunque todavía existe la necesidad de evaluar dichos cambios en caso por caso).
Cuando surja la necesidad de utilizar software de código abierto, éste siempre debe ser la última versión disponible públicamente y que se mantenga activamente. En consecuencia, las organizaciones deben considerar los riesgos inherentes del uso de software sin mantenimiento en todas las funciones comerciales.
ISO 27002:2022-8.19 reemplaza a ISO 27002:2003-12.5.1 (Instalación de software en sistemas operativos) y 12.6.2 (Restricciones a la instalación de software).
27002:2022-8.19 es una combinación de la mayoría de los consejos contenidos en 27002:2003-12.5.1 y 12.6.2, con varios conceptos clave ampliados brevemente y con la adición de algunos principios rectores nuevos:
ISMS.Online es una solución completa para la implementación de ISO 27002. Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados mediante procesos, procedimientos y listas de verificación bien pensados.
No es sólo una plataforma fácil de usar para gestionar su implementación de ISO 27002, sino también una excelente herramienta para capacitar a su personal sobre las mejores prácticas y procesos de seguridad de la información, así como para documentar todos sus esfuerzos.
Las ventajas de utilizar ISMS.Online:
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |