Cuando los ciberdelincuentes comprometen redes, servicios o dispositivos informáticos, no se limitan a los activos comprometidos.
Aprovechan la intrusión inicial para infiltrarse en toda la red de una organización, obtener acceso a activos de información confidencial o llevar a cabo ataques de ransomware.
Por ejemplo, los ciberdelincuentes pueden robar las credenciales de inicio de sesión de los empleados de recursos humanos (RRHH) de un hospital tras un ataque de phishing exitoso y obtener acceso a los sistemas de recursos humanos.
Luego pueden utilizar este punto de acceso para moverse lateralmente por toda la red y descubrir redes que albergan información confidencial del paciente. Esta intrusión puede poner en peligro los activos de información, provocar un tiempo de inactividad o exponer al hospital a un ataque de ransomware.
Si el hospital tuviera técnicas de segregación de red, como firewalls, redes virtuales o aislamiento de servidores, probablemente evitaría que los intrusos obtuvieran acceso a activos de información confidencial y minimizaría el impacto de la infracción.
El Control 8.22 aborda cómo las organizaciones pueden implementar y mantener técnicas apropiadas de segregación de red para eliminar los riesgos a la disponibilidad, integridad y confidencialidad de los activos de información.
Control 8.22 permite a las organizaciones segregar sus redes informáticas en subredes según el nivel de sensibilidad y criticidad y restringir el flujo de tráfico entre estas diferentes subredes.
Esto ayuda a las organizaciones a prevenir la propagación de malware o virus desde redes comprometidas a otras redes que almacenan activos de información confidencial.
Esto garantiza que las organizaciones mantengan la confidencialidad, integridad y disponibilidad de los activos de información alojados en subredes críticas.
El Control 8.22 es de naturaleza preventiva, ya que requiere que las organizaciones adopten un enfoque proactivo y establezcan e implementen reglas, procedimientos y técnicas apropiadas para segregar la red informática más grande en dominios de red más pequeños para evitar el compromiso de redes sensibles.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad del sistema y de la red | #Proteccion |
Considerando que el Control 8.22 implica la segmentación de redes, dispositivos y sistemas según el nivel de riesgos involucrados y también la implementación de técnicas y procedimientos de segregación de redes, un oficial de Seguridad de la Información debe ser responsable del cumplimiento.
Al implementar medidas de segregación de red, las organizaciones deben intentar lograr un equilibrio entre las necesidades operativas y las preocupaciones de seguridad.
El Control 8.22 enumera tres recomendaciones que deben considerarse al implementar la segregación de la red.
Al segregar la red en subdominios de red más pequeños, las organizaciones deben considerar el nivel de sensibilidad y criticidad de cada dominio de red. Dependiendo de este análisis, los subdominios de red pueden asignarse a "dominios públicos", "dominios de escritorio", "dominios de servidor" o "sistemas de alto riesgo".
Además, las organizaciones también pueden considerar los departamentos comerciales como recursos humanos, marketing y finanzas al segregar la red.
También se observa que las organizaciones pueden combinar estos dos criterios y asignar subdominios de red en categorías como "dominio de servidor que se conecta al departamento de ventas".
Las organizaciones deben definir claramente el perímetro de cada subdominio de la red. Si habrá acceso entre dos dominios de red diferentes, este acceso debe restringirse en el nivel del perímetro a través de la puerta de enlace, como firewalls o enrutadores de filtrado.
Las organizaciones deben evaluar los requisitos de seguridad para cada dominio específico al implementar la segregación de la red y al autorizar el acceso a través de las puertas de enlace.
Esta evaluación debe llevarse a cabo de conformidad con la política de control de acceso según lo exige el Control 5.15 y también debe considerar lo siguiente:
Teniendo en cuenta que definir los parámetros de seguridad de la red para redes inalámbricas es un desafío, Control 8.22 recomienda que las organizaciones sigan las siguientes prácticas:
El único cumplimiento
solución que necesitas
Reserva tu demostración
El Control 8.22 señala que las organizaciones a menudo establecen diversas asociaciones comerciales con otras empresas y comparten su red, dispositivos de TI y otras instalaciones de información.
Por lo tanto, las redes sensibles pueden estar expuestas a un mayor riesgo de acceso no autorizado por parte de otros usuarios y las organizaciones deben tomar las medidas adecuadas para evitar este riesgo.
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Si bien las versiones 2022 y 2013 son muy similares, hay una diferencia clave.
A diferencia de la versión 2013, la versión 2022 incluye los siguientes requisitos para redes inalámbricas:
ISMS.Online le permite:
ISMS.Online ofrece una gama completa de funciones para ayudar a las organizaciones y empresas a lograr el cumplimiento del estándar industrial ISO 27001 y/o ISO 27002 ISMS.
Por favor contáctenos hoy para programa una demostración.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
