Control 8.21, Seguridad de los Servicios de Red

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Propósito del Control 8.21

En informática, un "servicio de red" puede describirse en términos generales como un sistema que se ejecuta en la "capa de aplicación de red", como correo electrónico, impresión, o una servidor de archivos. Los servicios de red también incluyen aplicaciones administradas y soluciones de seguridad como cortafuegos o puerta de enlace plataformas antivirus, sistema de deteccion de intrusos y servicios de conexión.

Los servicios de red suelen representar las partes funcionales más importantes de una red y son fundamentales para el funcionamiento diario de una red TIC comercial moderna. Por lo tanto, la seguridad es primordial y el uso de los servicios de red debe monitorearse de cerca y administrarse directamente para minimizar el riesgo asociado de fallas, intrusiones e interrupciones comerciales.

Tabla de Atributos de Control 8.21

Control 8.21 es un control preventivo que mantiene el riesgo estableciendo un conjunto de reglas que rigen el uso tanto de los servicios de red como, por asociación, de la propia red anfitriona.

Tipo de control	Propiedades de seguridad de la información	Conceptos de ciberseguridad	Capacidades operativas	Dominios de seguridad
#Preventivo	#Confidencialidad	#Proteger	#Seguridad del sistema y de la red	#Proteccion
	#Integridad
	#Disponibilidad

Propiedad del Control 8.21

El Control 8.21 trata conceptos técnicos relacionados con el mantenimiento y la gestión de varios componentes clave de la red TIC de una organización. Como tal, la propiedad debe recaer en el Jefe de TI o su equivalente organizacional.

Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo

Orientación general sobre cumplimiento

El Control 8.21 identifica tres tipos de seguridad principales, cuando aborda el concepto más amplio de seguridad del servicio de red:

Características de seguridad
Niveles de servicio
Requisitos de servicio

Estas tres medidas deben ser tenidas en cuenta por todos los proveedores de servicios de red internos y externos, y la organización debe tomar medidas para garantizar que los proveedores cumplan con sus obligaciones en todo momento.

Las organizaciones deben juzgar a un proveedor de servicios de red por su capacidad para gestionar servicios según lo dictado por un conjunto inequívoco de SLA y monitorear el cumplimiento lo mejor que puedan.

Parte de esta evaluación operativa debe incluir referencias obtenidas de fuentes confiables que acrediten la capacidad de un proveedor de servicios de red para administrar servicios de manera segura y eficiente.

Las reglas de seguridad de la red deben incluir:

Cualquier servicio de red y redes asociadas a las que se le permita acceder.
Los requisitos de autenticación para acceder a dichos servicios de red, incluyendo quién está autorizado a acceder a ellos, desde dónde y cuándo puede hacerlo.
Cómo el personal obtiene autorización previa para acceder a los servicios de red, incluida la aprobación final y el análisis de casos comerciales.
Un sólido conjunto de controles de gestión de red que protegen los servicios de red contra el uso indebido y el acceso no autorizado.
Cómo se permite al personal acceder a los servicios de red (es decir, de forma remota o exclusivamente en el sitio).
Procedimientos de registro que detallan información clave sobre el acceso a los servicios de red y el personal que los utiliza (por ejemplo, hora, ubicación y datos del dispositivo).
Seguimiento del uso de los servicios de red.

Guía: seguridad del servicio de red

Control 8.21 también incluye notas orientativas sobre cómo aumentar la seguridad en todos los servicios de red, incluida la funcionalidad de back-end y la operación del usuario.

Las organizaciones deben considerar características de seguridad como autenticación, cifrado y controles de conexión.
Se deben establecer parámetros rígidos que dicten la conexión a los servicios de red.
Los usuarios deberían poder elegir la cantidad de datos almacenados en caché (almacenados temporalmente) por un servicio de red para aumentar el rendimiento general y garantizar que los datos no se almacenen excesivamente hasta el punto de representar un riesgo de seguridad tangible.
Restringir el acceso a los servicios de red.

Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo

Cambios y diferencias con respecto a ISO 27002:2013

ISO 27002:2022-8.21 reemplaza a ISO 27002:2003-13.1.2 (Seguridad de los servicios de red).

27002:2022-8.21 contiene varias adiciones importantes a su contraparte de 2013, y esta última se centra completamente en la seguridad del servicio de red (que contiene el mismo conjunto de notas orientativas) y omite cualquier orientación general sobre las reglas de red (consulte los puntos 1 a 7 anteriores en 'Orientación general').

Nuevos controles ISO 27002

Nuevos controles

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.7	Nuevo	Inteligencia de amenazas
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
7.4	Nuevo	Monitoreo de seguridad física
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.16	Nuevo	Actividades de monitoreo
8.23	Nuevo	Filtrado Web
8.28	Nuevo	Codificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.1	05.1.1, 05.1.2	Políticas de seguridad de la información.
5.2	06.1.1	Funciones y responsabilidades de seguridad de la información
5.3	06.1.2	Segregación de deberes
5.4	07.2.1	Responsabilidades de gestión
5.5	06.1.3	Contacto con autoridades
5.6	06.1.4	Contacto con grupos de intereses especiales
5.7	Nuevo	Inteligencia de amenazas
5.8	06.1.5, 14.1.1	Seguridad de la información en la gestión de proyectos.
5.9	08.1.1, 08.1.2	Inventario de información y otros activos asociados
5.10	08.1.3, 08.2.3	Uso aceptable de la información y otros activos asociados
5.11	08.1.4	Devolución de activos
5.12	08.2.1	Clasificación de la información
5.13	08.2.2	Etiquetado de información
5.14	13.2.1, 13.2.2, 13.2.3	Transferencia de información
5.15	09.1.1, 09.1.2	Control de acceso
5.16	09.2.1	Gestión de identidad
5.17	09.2.4, 09.3.1, 09.4.3	Información de autenticación
5.18	09.2.2, 09.2.5, 09.2.6	Derechos de acceso
5.19	15.1.1	Seguridad de la información en las relaciones con proveedores
5.20	15.1.2	Abordar la seguridad de la información en los acuerdos con proveedores
5.21	15.1.3	Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22	15.2.1, 15.2.2	Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.24	16.1.1	Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25	16.1.4	Evaluación y decisión sobre eventos de seguridad de la información.
5.26	16.1.5	Respuesta a incidentes de seguridad de la información
5.27	16.1.6	Aprender de los incidentes de seguridad de la información
5.28	16.1.7	Recolección de evidencia
5.29	17.1.1, 17.1.2, 17.1.3	Seguridad de la información durante la interrupción
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
5.31	18.1.1, 18.1.5	Requisitos legales, estatutarios, reglamentarios y contractuales
5.32	18.1.2	Derechos de propiedad intelectual
5.33	18.1.3	Protección de registros
5.34	18.1.4	Privacidad y protección de la PII
5.35	18.2.1	Revisión independiente de la seguridad de la información.
5.36	18.2.2, 18.2.3	Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37	12.1.1	Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
6.1	07.1.1	examen en línea.
6.2	07.1.2	Términos y condiciones de empleo
6.3	07.2.2	Concientización, educación y capacitación sobre seguridad de la información.
6.4	07.2.3	Proceso Disciplinario
6.5	07.3.1	Responsabilidades tras el despido o cambio de empleo
6.6	13.2.4	Acuerdos de confidencialidad o no divulgación
6.7	06.2.2	Trabajo remoto
6.8	16.1.2, 16.1.3	Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
7.1	11.1.1	Perímetros de seguridad física
7.2	11.1.2, 11.1.6	Entrada física
7.3	11.1.3	Seguridad de oficinas, habitaciones e instalaciones.
7.4	Nuevo	Monitoreo de seguridad física
7.5	11.1.4	Protección contra amenazas físicas y ambientales.
7.6	11.1.5	Trabajar en áreas seguras
7.7	11.2.9	Escritorio claro y pantalla clara
7.8	11.2.1	Ubicación y protección de equipos.
7.9	11.2.6	Seguridad de los activos fuera de las instalaciones
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Medios de almacenamiento
7.11	11.2.2	Servicios públicos de apoyo
7.12	11.2.3	Seguridad del cableado
7.13	11.2.4	Mantenimiento de equipo
7.14	11.2.7	Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
8.1	06.2.1, 11.2.8	Dispositivos terminales de usuario
8.2	09.2.3	Derechos de acceso privilegiados
8.3	09.4.1	Restricción de acceso a la información
8.4	09.4.5	Acceso al código fuente
8.5	09.4.2	Autenticación segura
8.6	12.1.3	Gestión de la capacidad
8.7	12.2.1	Protección contra malware
8.8	12.6.1, 18.2.3	Gestión de vulnerabilidades técnicas.
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.13	12.3.1	Copia de seguridad de la información
8.14	17.2.1	Redundancia de instalaciones de procesamiento de información.
8.15	12.4.1, 12.4.2, 12.4.3	Inicio de sesión
8.16	Nuevo	Actividades de monitoreo
8.17	12.4.4	sincronización de los relojes
8.18	09.4.4	Uso de programas de utilidad privilegiados.
8.19	12.5.1, 12.6.2	Instalación de software en sistemas operativos.
8.20	13.1.1	Seguridad en redes
8.21	13.1.2	Seguridad de los servicios de red.
8.22	13.1.3	Segregación de redes
8.23	Nuevo	Filtrado Web
8.24	10.1.1, 10.1.2	Uso de criptografía
8.25	14.2.1	Ciclo de vida de desarrollo seguro
8.26	14.1.2, 14.1.3	Requisitos de seguridad de la aplicación
8.27	14.2.5	Principios de ingeniería y arquitectura de sistemas seguros
8.28	Nuevo	Codificación segura
8.29	14.2.8, 14.2.9	Pruebas de seguridad en desarrollo y aceptación.
8.30	14.2.7	Desarrollo subcontratado
8.31	12.1.4, 14.2.6	Separación de los entornos de desarrollo, prueba y producción.
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestión del cambio
8.33	14.3.1	Información de prueba
8.34	12.7.1	Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

La norma ISO 27002 es un conjunto de directrices que ayudan a las organizaciones a proteger sus activos de información. Es aplicable a todo tipo de organizaciones, independientemente de su tamaño, estructura o industria.

ISMS.online es una plataforma basada en la nube que ofrece asistencia para implementar el estándar ISO 27002 de manera eficiente y rentable.

Proporciona a las organizaciones un fácil acceso a información actualizada sobre su estado de cumplimiento en todo momento a través de su interfaz de panel fácil de usar que permite a los gerentes monitorear su progreso hacia el cumplimiento de forma rápida y sencilla.

Contáctenos hoy para programa una demostración.

ISO 27002:2022 – Control 8.21 – Seguridad de los Servicios de Red