Ir al contenido
¡Trabaje de forma más inteligente con nuestra nueva navegación mejorada!
Vea cómo IO facilita el cumplimiento. Leer el blog
SGSI.online

ISO 27002:2022 – Control 8.21 – Seguridad de los Servicios de Red

ISO 27002 Control 8.21: Seguridad de los servicios de red describe las mejores prácticas para proteger los servicios de red, garantizando la confidencialidad, la integridad y la disponibilidad mediante autenticación, cifrado, controles de acceso y acuerdos de nivel de servicio (SLA).

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

Propósito del Control 8.21

En informática, un "servicio de red" puede describirse en términos generales como un sistema que se ejecuta en la "capa de aplicación de red", como correo electrónico, impresión, o un servidor de archivos. Los servicios de red también incluyen aplicaciones administradas y soluciones de seguridad como cortafuegos o puerta de enlace plataformas antivirus, sistema de deteccion de intrusos y servicios de conexión.

Los servicios de red suelen representar las partes funcionales más importantes de una red y son fundamentales para el funcionamiento diario de una red TIC comercial moderna. Por lo tanto, la seguridad es primordial y el uso de los servicios de red debe monitorearse de cerca y administrarse directamente para minimizar el riesgo asociado de fallas, intrusiones e interrupciones comerciales.

Tabla de Atributos de Control 8.21

Control 8.21 es un control preventivo que mantiene el riesgo estableciendo un conjunto de reglas que rigen el uso tanto de los servicios de red como, por asociación, de la propia red anfitriona.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Proteger #Seguridad del sistema y de la red #Proteccion
#Integridad
#Disponibilidad

Propiedad del Control 8.21

El Control 8.21 trata conceptos técnicos relacionados con el mantenimiento y la gestión de varios componentes clave de la red TIC de una organización. Como tal, la propiedad debe recaer en el Jefe de TI o su equivalente organizacional.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Empezar


Orientación general sobre cumplimiento

El Control 8.21 identifica tres tipos de seguridad principales, cuando aborda el concepto más amplio de seguridad del servicio de red:

  1. Características de seguridad
  2. Niveles de servicio
  3. Requisitos de servicio

Estas tres medidas deben ser tenidas en cuenta por todos los proveedores de servicios de red internos y externos, y la organización debe tomar medidas para garantizar que los proveedores cumplan con sus obligaciones en todo momento.

Las organizaciones deben juzgar a un proveedor de servicios de red por su capacidad para gestionar servicios según lo dictado por un conjunto inequívoco de SLA y monitorear el cumplimiento lo mejor que puedan.

Parte de esta evaluación operativa debe incluir referencias obtenidas de fuentes confiables que acrediten la capacidad de un proveedor de servicios de red para administrar servicios de manera segura y eficiente.

Las reglas de seguridad de la red deben incluir:

  1. Cualquier servicio de red y redes asociadas a las que se le permita acceder.
  2. Los requisitos de autenticación para acceder a dichos servicios de red, incluyendo quién está autorizado a acceder a ellos, desde dónde y cuándo puede hacerlo.
  3. Cómo el personal obtiene autorización previa para acceder a los servicios de red, incluida la aprobación final y el análisis de casos comerciales.
  4. Un sólido conjunto de controles de gestión de red que protegen los servicios de red contra el uso indebido y el acceso no autorizado.
  5. Cómo se permite al personal acceder a los servicios de red (es decir, de forma remota o exclusivamente en el sitio).
  6. Procedimientos de registro que detallan información clave sobre el acceso a los servicios de red y el personal que los utiliza (por ejemplo, hora, ubicación y datos del dispositivo).
  7. Seguimiento del uso de los servicios de red.

Guía: seguridad del servicio de red

Control 8.21 también incluye notas orientativas sobre cómo aumentar la seguridad en todos los servicios de red, incluida la funcionalidad de back-end y la operación del usuario.

  • Las organizaciones deben considerar características de seguridad como autenticación, cifrado y controles de conexión.
  • Se deben establecer parámetros rígidos que dicten la conexión a los servicios de red.
  • Los usuarios deberían poder elegir la cantidad de datos almacenados en caché (almacenados temporalmente) por un servicio de red para aumentar el rendimiento general y garantizar que los datos no se almacenen excesivamente hasta el punto de representar un riesgo de seguridad tangible.
  • Restringir el acceso a los servicios de red.


ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Cambios y diferencias con respecto a ISO 27002:2013

ISO 27002:2022-8.21 reemplaza a ISO 27002:2003-13.1.2 (Seguridad de los servicios de red).

27002:2022-8.21 contiene varias adiciones importantes a su contraparte de 2013, y esta última se centra completamente en la seguridad del servicio de red (que contiene el mismo conjunto de notas orientativas) y omite cualquier orientación general sobre las reglas de red (consulte los puntos 1 a 7 anteriores en 'Orientación general').

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

La norma ISO 27002 es un conjunto de directrices que ayudan a las organizaciones a proteger sus activos de información. Es aplicable a todo tipo de organizaciones, independientemente de su tamaño, estructura o industria.

ISMS.online es una plataforma basada en la nube que ofrece asistencia para implementar el estándar ISO 27002 de manera eficiente y rentable.

Proporciona a las organizaciones un fácil acceso a información actualizada sobre su estado de cumplimiento en todo momento a través de su interfaz de panel fácil de usar que permite a los gerentes monitorear su progreso hacia el cumplimiento de forma rápida y sencilla.

Contáctenos hoy para programa una demostración.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.