ISO 27002:2022, Control 8.19 – Instalación de Software en Sistemas Operativos

Controles revisados ​​ISO 27002:2022

Reserve una demostración

amplio,ángulo,vista,de,ocupado,diseño,oficina,con,trabajadores,en

Propósito del Control 8.19

El software operativo puede describirse en términos generales como cualquier pieza de software que la empresa utiliza activamente para llevar a cabo su operación, a diferencia del software de prueba o los proyectos de desarrollo.

Es de vital importancia garantizar que el software se instale y administre en una red determinada de acuerdo con un estricto conjunto de reglas y requisitos que minimicen el riesgo, mejoren la eficiencia y mantengan la seguridad dentro de las redes y servicios internos y externos.

Tabla de atributos

Control 8.19 es un control preventivo esa mantiene el riesgo estableciendo un conjunto de reglas que rigen la instalación de software en sistemas operativos.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger#Configuración segura
#Seguridad de aplicaciones		#Proteccion

Propiedad del Control 8.19

El Control 8.19 trata conceptos técnicos relacionados con el mantenimiento y gestión de sistemas informáticos operativos. Como tal, la propiedad debe recaer en el Jefe de TI o su equivalente organizacional.

Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Orientación general sobre cumplimiento

Para gestionar de forma segura los cambios y las instalaciones en su red, las organizaciones deben:

  1. Asegúrese de que las actualizaciones de software solo las realice personal capacitado y competente (consulte Control 8.5).

  2. Instale únicamente código ejecutable robusto que esté libre de errores y que haya salido de forma segura de la etapa de desarrollo.

  3. Instale y/o actualice el software únicamente después de que dicha actualización o parche se haya probado con éxito y la organización esté segura de que no se producirán conflictos ni errores.

  4. Mantener un sistema bibliotecario actualizado.

  5. Utilice un 'sistema de control de configuración' que administre todas las instancias del software operativo, incluida la documentación del programa.

  6. Acuerde una "estrategia de reversión" antes de cualquier actualización o instalación, para garantizar la continuidad del negocio en caso de un error o conflicto imprevisto.

  7. Mantenga un registro de cualquier actualización realizada en el software operativo, incluido un resumen de la actualización, el personal involucrado y una marca de tiempo.

  8. Asegúrese de que el software no utilizado (incluida toda la documentación, los archivos de configuración, los registros del sistema y los procedimientos de soporte) se almacene de forma segura para su uso posterior, en caso de que surja la necesidad.

  9. Hacer cumplir un conjunto estricto de reglas sobre el tipo de paquetes de software que los usuarios pueden instalar, basándose en los principios de "menos privilegios" y de acuerdo con las funciones y responsabilidades relevantes.

Orientación: software del proveedor

En lo que respecta al software proporcionado por el proveedor (por ejemplo, cualquier software utilizado en la operación de maquinaria o para una función comercial personalizada), dicho software siempre debe mantenerse en buen estado de funcionamiento consultando las pautas del proveedor para una operación segura.

Es importante tener en cuenta que incluso cuando el software o los módulos de software se suministran y administran externamente (es decir, la organización no es responsable de ninguna actualización), se deben tomar medidas para garantizar que las actualizaciones de terceros no comprometan la integridad de la red de la organización.

Las organizaciones deben evitar el uso de software de proveedores no compatibles a menos que sea absolutamente necesario y considerar los riesgos de seguridad asociados al uso de aplicaciones redundantes en lugar de una actualización a sistemas más nuevos y seguros.

Si un proveedor requiere acceso a la red de una organización para realizar una instalación o actualización, la actividad debe monitorearse y validarse de acuerdo con todos los procedimientos de autorización relevantes (ver Control 5.22).

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Orientación complementaria sobre control 8.19

El software debe actualizarse, instalarse y/o parchearse de acuerdo con los procedimientos de gestión de cambios publicados por la organización, para garantizar la uniformidad con otras áreas del negocio.

Siempre que se identifica un parche que elimina totalmente una vulnerabilidad (o una serie de vulnerabilidades) o ayuda de alguna manera a mejorar la operación de seguridad de la información de la organización, dichos cambios casi siempre deben aplicarse (aunque todavía existe la necesidad de evaluar dichos cambios en caso por caso).

Cuando surja la necesidad de utilizar software de código abierto, éste siempre debe ser la última versión disponible públicamente y que se mantenga activamente. En consecuencia, las organizaciones deben considerar los riesgos inherentes del uso de software sin mantenimiento en todas las funciones comerciales.

Controles de apoyo

  • 5.22
  • 8.5

Cambios y diferencias con respecto a ISO 27002:2013

ISO 27002:2022-8.19 reemplaza a ISO 27002:2003-12.5.1 (Instalación de software en sistemas operativos) y 12.6.2 (Restricciones a la instalación de software).

27002:2022-8.19 es una combinación de la mayoría de los consejos contenidos en 27002:2003-12.5.1 y 12.6.2, con varios conceptos clave ampliados brevemente y con la adición de algunos principios rectores nuevos:

  • Mantenimiento de un sistema bibliotecario.

  • Normas que rigen el uso de software de código abierto.

  • Controles lógicos más estrechos sobre la instalación y el mantenimiento del software del proveedor.

Cómo ayuda ISMS.online

ISMS.Online es una solución completa para la implementación de ISO 27002. Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados mediante procesos, procedimientos y listas de verificación bien pensados.

No es sólo una plataforma fácil de usar para gestionar su implementación de ISO 27002, sino también una excelente herramienta para capacitar a su personal sobre las mejores prácticas y procesos de seguridad de la información, así como para documentar todos sus esfuerzos.

Las ventajas de utilizar ISMS.Online:

  • Plataforma online fácil de usar a la que se puede acceder desde cualquier dispositivo.

  • Es completamente personalizable para satisfacer sus necesidades.

  • Flujos de trabajo y procesos personalizables para satisfacer las necesidades de su negocio.

  • Herramientas de capacitación para ayudar a los nuevos empleados a ponerse al día más rápido.

  • Una biblioteca de plantillas para documentos como políticas, procedimientos, planes y listas de verificación.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

¿Estás listo para
la nueva ISO 27002

Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más