Cómo garantizar el manejo seguro de la información mediante criptografía en la norma ISO 27002:2022
Cuando la información se transmite entre redes y dispositivos, los ciberatacantes pueden utilizar diversas técnicas para robar información confidencial durante el tránsito, alterar el contenido de la información, hacerse pasar por el remitente/destinatario para obtener acceso no autorizado a la información o interceptar la transferencia de información.
Por ejemplo, los ciberdelincuentes pueden utilizar la técnica de ataque man-in-the-middle (MITM), interceptar la transmisión de datos y hacerse pasar por el servidor para persuadir al remitente a que revele sus credenciales de inicio de sesión al servidor falso. Luego pueden usar estas credenciales para obtener acceso a los sistemas y comprometer información confidencial.
El uso de criptografía, como el cifrado, puede resultar eficaz para proteger la confidencialidad, la integridad y la disponibilidad de los activos de información cuando están en tránsito.
Además, las técnicas criptográficas también pueden mantener la seguridad de los activos de información cuando están en reposo.
El Control 8.24 aborda cómo las organizaciones pueden establecer e implementar reglas y procedimientos para el uso de la criptografía.
Propósito del Control 8.24
El Control 8.24 permite a las organizaciones mantener la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información implementando adecuadamente técnicas criptográficas y teniendo en cuenta los siguientes criterios:
- Necesidades del negocio.
- Requisitos de seguridad de la información.
- Requisitos legales, contractuales y organizativos relacionados con el uso de criptografía.
Atributos de Control 8.24
El Control 8.24 es un tipo de control preventivo que requiere que las organizaciones establezcan reglas y procedimientos para el uso efectivo de técnicas criptográficas y así eliminar y minimizar riesgos al compromiso de los activos de información cuando se encuentran en tránsito o en reposo.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Configuración segura | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.24
El cumplimiento de 8.24 requiere el establecimiento e implementación de una política específica sobre criptografía, creando un proceso de gestión de claves eficaz y determinando el tipo de técnica criptográfica adecuada al nivel de clasificación de información asignado a un activo de información en particular.
Por lo tanto, el director de seguridad de la información debe ser responsable de establecer reglas y procedimientos apropiados para el uso de claves criptográficas.
Orientación general sobre cumplimiento
Control 8.24 enumera siete requisitos que las organizaciones deben cumplir cuando utilizan técnicas criptográficas:
- Las organizaciones deben crear y mantener una política temática específica sobre el uso de la criptografía. Esta política es esencial para maximizar los beneficios de las técnicas criptográficas y reduce los riesgos que pueden surgir del uso de la criptografía. También se señala que esta política debe cubrir los principios generales que rigen la protección de la información.
- Las organizaciones deben considerar el nivel de sensibilidad de los activos de información y el nivel de clasificación de la información que se les asigna cuando deciden sobre el tipo, la solidez y la calidad del algoritmo de cifrado.
- Las organizaciones deben implementar técnicas criptográficas cuando la información se transfiere a dispositivos móviles o a equipos de medios de almacenamiento o cuando la información se almacena en estos dispositivos.
- Las organizaciones deben abordar cuestiones relacionadas con la gestión de claves, incluida la creación y protección de claves criptográficas y el plan de recuperación de datos cifrados en caso de que las claves se pierdan o se vean comprometidas.
- Las organizaciones deben establecer las funciones y responsabilidades de lo siguiente:
- Establecimiento e implementación de las reglas sobre cómo se utilizarán las técnicas criptográficas.
- Cómo se manejarán las claves, incluido cómo se generarán.
- La adopción y aprobación de estándares en toda la organización para los algoritmos criptográficos, la solidez del cifrado y las prácticas de uso de la criptografía.
- La organización debe abordar cómo la información cifrada puede interferir con los controles que implican la inspección de contenido, como la detección de malware.
Además, el Control 8.24 destaca que las organizaciones deben tener en cuenta las leyes y requisitos que pueden restringir el uso de la criptografía, incluida la transferencia transfronteriza de información cifrada.
Finalmente, también se recomienda a las organizaciones que aborden la responsabilidad y la continuidad de los servicios cuando celebren acuerdos de servicio con terceros para la prestación de servicios criptográficos.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Orientación complementaria sobre gestión de claves
Las organizaciones deben definir y aplicar procedimientos seguros para la creación, almacenamiento, recuperación y destrucción de claves criptográficas.
En particular, las organizaciones deben implementar un sistema sólido de gestión de claves que incluya reglas, procesos y estándares para lo siguiente:
- Generación de claves criptográficas para diferentes sistemas y aplicaciones.
- Emisión y adquisición de certificados de clave pública.
- Distribución de claves a los destinatarios previstos, incluido el proceso de activación de claves.
- Almacenamiento de claves y cómo las partes autorizadas pueden acceder a las claves.
- Cambio de llaves.
- Manejo de claves comprometidas.
- Revocación de claves por el motivo por el cual están comprometidas o cuando personas autorizadas abandonan una organización.
- Recuperación de llaves perdidas.
- Copia de seguridad y archivo de claves.
- Destruyendo llaves.
- Mantener un registro de todas las actividades relacionadas con cada clave.
- Determinación de fechas de activación y desactivación de claves.
- Atender solicitudes legales para tener acceso a claves.
Por último, pero no menos importante, esta guía complementaria advierte a las organizaciones contra tres riesgos particulares:
- Las claves secretas y protegidas deben protegerse contra el uso no autorizado.
- El equipo utilizado para crear o almacenar claves de cifrado debe protegerse mediante medidas de seguridad físicas.
- Las organizaciones deben mantener la autenticidad de las claves públicas.
¿Cuáles son los beneficios de la criptografía?
Después de resaltar que las organizaciones pueden garantizar la autenticidad de las claves públicas mediante métodos como los procesos de gestión de claves públicas, Control 8.24 explica cómo la criptografía puede ayudar a las organizaciones a lograr cuatro objetivos de seguridad de la información:
- Confidencialidad: La criptografía protege y mantiene la confidencialidad de los datos tanto en tránsito como en reposo.
- Integridad y autenticidad: Las firmas digitales y los códigos de autenticación pueden garantizar la autenticidad y la integridad de la información comunicada.
- No repudio: Los métodos criptográficos proporcionan evidencia de todos los eventos o acciones realizadas, como la recepción de información.
- Autenticación: Los métodos criptográficos permiten a las organizaciones verificar la identidad de los usuarios que solicitan acceso a sistemas y aplicaciones.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.24 reemplaza 27002:2013/(10.1.1. Y 10.1.2)
Si bien el contenido de ambas versiones es casi idéntico, existen algunos cambios estructurales.
Mientras que la versión de 2013 abordó el uso de criptografía bajo dos controles separados, a saber, 10.1.1. Y 10.1.2, la versión 2022 combinó estos dos bajo un solo Control, 8.24.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.Online es el software líder en sistemas de gestión ISO 27002 que respalda el cumplimiento de ISO 27002 y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.
La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27002.
Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.
