Mejora de la seguridad con la norma ISO 27002 Control 8.22: Estrategias de segregación de redes
Cuando los ciberdelincuentes comprometen redes, servicios o dispositivos informáticos, no se limitan a los activos comprometidos.
Aprovechan la intrusión inicial para infiltrarse en toda la red de una organización, obtener acceso a activos de información confidencial o llevar a cabo ataques de ransomware.
Por ejemplo, los ciberdelincuentes pueden robar las credenciales de inicio de sesión de los empleados de recursos humanos (RRHH) de un hospital tras un ataque de phishing exitoso y obtener acceso a los sistemas de recursos humanos.
Luego pueden utilizar este punto de acceso para moverse lateralmente por toda la red y descubrir redes que albergan información confidencial del paciente. Esta intrusión puede poner en peligro los activos de información, provocar un tiempo de inactividad o exponer al hospital a un ataque de ransomware.
Si el hospital tuviera técnicas de segregación de red, como firewalls, redes virtuales o aislamiento de servidores, probablemente evitaría que los intrusos obtuvieran acceso a activos de información confidencial y minimizaría el impacto de la infracción.
El Control 8.22 aborda cómo las organizaciones pueden implementar y mantener técnicas apropiadas de segregación de red para eliminar los riesgos a la disponibilidad, integridad y confidencialidad de los activos de información.
Propósito del Control 8.22
Control 8.22 permite a las organizaciones segregar sus redes informáticas en subredes según el nivel de sensibilidad y criticidad y restringir el flujo de tráfico entre estas diferentes subredes.
Esto ayuda a las organizaciones a prevenir la propagación de malware o virus desde redes comprometidas a otras redes que almacenan activos de información confidencial.
Esto garantiza que las organizaciones mantengan la confidencialidad, integridad y disponibilidad de los activos de información alojados en subredes críticas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Tabla de Atributos de Control 8.22
El Control 8.22 es de naturaleza preventiva, ya que requiere que las organizaciones adopten un enfoque proactivo y establezcan e implementen reglas, procedimientos y técnicas apropiadas para segregar la red informática más grande en dominios de red más pequeños para evitar el compromiso de redes sensibles.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad del sistema y de la red | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
Propiedad del Control 8.22
Considerando que el Control 8.22 implica la segmentación de redes, dispositivos y sistemas según el nivel de riesgos involucrados y también la implementación de técnicas y procedimientos de segregación de redes, un oficial de Seguridad de la Información debe ser responsable del cumplimiento.
Orientación general sobre cumplimiento
Al implementar medidas de segregación de red, las organizaciones deben intentar lograr un equilibrio entre las necesidades operativas y las preocupaciones de seguridad.
El Control 8.22 enumera tres recomendaciones que deben considerarse al implementar la segregación de la red.
Cómo separar la red en subredes más pequeñas
Al segregar la red en subdominios de red más pequeños, las organizaciones deben considerar el nivel de sensibilidad y criticidad de cada dominio de red. Dependiendo de este análisis, los subdominios de red pueden asignarse a "dominios públicos", "dominios de escritorio", "dominios de servidor" o "sistemas de alto riesgo".
Además, las organizaciones también pueden considerar los departamentos comerciales como recursos humanos, marketing y finanzas al segregar la red.
También se observa que las organizaciones pueden combinar estos dos criterios y asignar subdominios de red en categorías como "dominio de servidor que se conecta al departamento de ventas".
Perímetros de Seguridad y Control de Acceso
Las organizaciones deben definir claramente el perímetro de cada subdominio de la red. Si habrá acceso entre dos dominios de red diferentes, este acceso debe restringirse en el nivel del perímetro a través de la puerta de enlace, como firewalls o enrutadores de filtrado.
Las organizaciones deben evaluar los requisitos de seguridad para cada dominio específico al implementar la segregación de la red y al autorizar el acceso a través de las puertas de enlace.
Esta evaluación debe llevarse a cabo de conformidad con la política de control de acceso según lo exige el Control 5.15 y también debe considerar lo siguiente:
- Nivel de clasificación asignado a los activos de información.
- Criticidad de la información.
- Costo y consideraciones prácticas para el uso de una tecnología de puerta de enlace particular.
Conexiones inalámbricas
Teniendo en cuenta que definir los parámetros de seguridad de la red para redes inalámbricas es un desafío, Control 8.22 recomienda que las organizaciones sigan las siguientes prácticas:
- Se debe evaluar el uso de técnicas de ajuste de la cobertura radioeléctrica para segregar las redes inalámbricas.
- Para redes sensibles, las organizaciones pueden asumir todos los intentos de acceso inalámbrico como conexiones externas y evitar el acceso a las redes internas hasta que el control de la puerta de enlace apruebe el acceso.
- Si el personal sólo utiliza sus propios dispositivos de acuerdo con la política de la organización, el acceso a la red inalámbrica proporcionado para el personal y para los invitados debe estar segregado.
- El uso de Wi-Fi por parte de los huéspedes debe estar sujeto a las mismas restricciones y controles impuestos al personal.
Orientación complementaria sobre control 8.22
El Control 8.22 señala que las organizaciones a menudo establecen diversas asociaciones comerciales con otras empresas y comparten su red, dispositivos de TI y otras instalaciones de información.
Por lo tanto, las redes sensibles pueden estar expuestas a un mayor riesgo de acceso no autorizado por parte de otros usuarios y las organizaciones deben tomar las medidas adecuadas para evitar este riesgo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Si bien las versiones 2022 y 2013 son muy similares, hay una diferencia clave.
A diferencia de la versión 2013, la versión 2022 incluye los siguientes requisitos para redes inalámbricas:
- Si el personal sólo utiliza sus propios dispositivos de acuerdo con la política de la organización, el acceso a la red inalámbrica proporcionado para el personal y para los invitados debe estar segregado.
- El uso de Wi-Fi por parte de los huéspedes debe estar sujeto a las mismas restricciones y controles impuestos al personal.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.Online le permite:
- Documente sus procesos. Esta interfaz intuitiva le permite documentar sus procesos sin instalar ningún software en su computadora o red.
- Automatice su proceso de evaluación de riesgos.
- Demuestre el cumplimiento fácilmente con informes y listas de verificación en línea.
- Mantenga un registro del progreso mientras trabaja para obtener la certificación.
ISMS.Online ofrece una gama completa de funciones para ayudar a las organizaciones y empresas a lograr el cumplimiento del estándar industrial ISO 27001 y/o ISO 27002 ISMS.
Por favor contáctenos hoy para programa una demostración.
