Propósito del Control 8.19
El software operativo puede describirse en términos generales como cualquier pieza de software que la empresa utiliza activamente para llevar a cabo su operación, a diferencia del software de prueba o los proyectos de desarrollo.
Es de vital importancia garantizar que el software se instale y administre en una red determinada de acuerdo con un estricto conjunto de reglas y requisitos que minimicen el riesgo, mejoren la eficiencia y mantengan la seguridad dentro de las redes y servicios internos y externos.
Tabla de Atributos de Control 8.19
Control 8.19 es un control preventivo que mantiene el riesgo estableciendo un conjunto de reglas que rigen la instalación de software en sistemas operativos.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Configuración segura | #Proteccion |
| #Integridad | #Seguridad de aplicaciones | |||
| #Disponibilidad |
Propiedad del Control 8.19
El Control 8.19 trata conceptos técnicos relacionados con el mantenimiento y gestión de sistemas informáticos operativos. Como tal, la propiedad debe recaer en el Jefe de TI o su equivalente organizacional.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cumplimiento
Para gestionar de forma segura los cambios y las instalaciones en su red, las organizaciones deben:
- Asegúrese de que las actualizaciones de software solo las realice personal capacitado y competente (consulte Control 8.5).
- Instale únicamente código ejecutable robusto que esté libre de errores y que haya salido de forma segura de la etapa de desarrollo.
- Instale y/o actualice el software únicamente después de que dicha actualización o parche se haya probado con éxito y la organización esté segura de que no se producirán conflictos ni errores.
- Mantener un sistema bibliotecario actualizado.
- Utilice un 'sistema de control de configuración' que administre todas las instancias del software operativo, incluida la documentación del programa.
- Acuerde una "estrategia de reversión" antes de cualquier actualización o instalación, para garantizar la continuidad del negocio en caso de un error o conflicto imprevisto.
- Mantenga un registro de cualquier actualización realizada en el software operativo, incluido un resumen de la actualización, el personal involucrado y una marca de tiempo.
- Asegúrese de que el software no utilizado (incluida toda la documentación, los archivos de configuración, los registros del sistema y los procedimientos de soporte) se almacene de forma segura para su uso posterior, en caso de que surja la necesidad.
- Hacer cumplir un conjunto estricto de reglas sobre el tipo de paquetes de software que los usuarios pueden instalar, basándose en los principios de "menos privilegios" y de acuerdo con las funciones y responsabilidades relevantes.
Orientación: software del proveedor
En lo que respecta al software proporcionado por el proveedor (por ejemplo, cualquier software utilizado en la operación de maquinaria o para una función comercial personalizada), dicho software siempre debe mantenerse en buen estado de funcionamiento consultando las pautas del proveedor para una operación segura.
Es importante tener en cuenta que incluso cuando el software o los módulos de software se suministran y administran externamente (es decir, la organización no es responsable de ninguna actualización), se deben tomar medidas para garantizar que las actualizaciones de terceros no comprometan la integridad de la red de la organización.
Las organizaciones deben evitar el uso de software de proveedores no compatibles a menos que sea absolutamente necesario y considerar los riesgos de seguridad asociados al uso de aplicaciones redundantes en lugar de una actualización a sistemas más nuevos y seguros.
Si un proveedor requiere acceso a la red de una organización para realizar una instalación o actualización, la actividad debe monitorearse y validarse de acuerdo con todos los procedimientos de autorización relevantes (ver Control 5.22).
Orientación complementaria sobre control 8.19
El software debe actualizarse, instalarse y/o parchearse de acuerdo con los procedimientos de gestión de cambios publicados por la organización, para garantizar la uniformidad con otras áreas del negocio.
Siempre que se identifica un parche que elimina totalmente una vulnerabilidad (o una serie de vulnerabilidades) o ayuda de alguna manera a mejorar la operación de seguridad de la información de la organización, dichos cambios casi siempre deben aplicarse (aunque todavía existe la necesidad de evaluar dichos cambios en caso por caso).
Cuando surja la necesidad de utilizar software de código abierto, éste siempre debe ser la última versión disponible públicamente y que se mantenga activamente. En consecuencia, las organizaciones deben considerar los riesgos inherentes del uso de software sin mantenimiento en todas las funciones comerciales.
Controles de apoyo
- 5.22
- 8.5
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
ISO 27002:2022-8.19 reemplaza a ISO 27002:2003-12.5.1 (Instalación de software en sistemas operativos) y 12.6.2 (Restricciones a la instalación de software).
27002:2022-8.19 es una combinación de la mayoría de los consejos contenidos en 27002:2003-12.5.1 y 12.6.2, con varios conceptos clave ampliados brevemente y con la adición de algunos principios rectores nuevos:
- Mantenimiento de un sistema bibliotecario.
- Normas que rigen el uso de software de código abierto.
- Controles lógicos más estrechos sobre la instalación y el mantenimiento del software del proveedor.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISMS.Online es una solución completa para la implementación de ISO 27002. Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados mediante procesos, procedimientos y listas de verificación bien pensados.
No es sólo una plataforma fácil de usar para gestionar su implementación de ISO 27002, sino también una excelente herramienta para capacitar a su personal sobre las mejores prácticas y procesos de seguridad de la información, así como para documentar todos sus esfuerzos.
Las ventajas de utilizar ISMS.Online:
- Plataforma online fácil de usar a la que se puede acceder desde cualquier dispositivo.
- Es completamente personalizable para satisfacer sus necesidades.
- Flujos de trabajo y procesos personalizables para satisfacer las necesidades de su negocio.
- Herramientas de capacitación para ayudar a los nuevos empleados a ponerse al día más rápido.
- Una biblioteca de plantillas para documentos como políticas, procedimientos, planes y listas de verificación.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
