Cuando la información se transmite entre redes y dispositivos, los ciberatacantes pueden utilizar diversas técnicas para robar información confidencial durante el tránsito, alterar el contenido de la información, hacerse pasar por el remitente/destinatario para obtener acceso no autorizado a la información o interceptar la transferencia de información.
Por ejemplo, los ciberdelincuentes pueden utilizar la técnica de ataque man-in-the-middle (MITM), interceptar la transmisión de datos y hacerse pasar por el servidor para persuadir al remitente a que revele sus credenciales de inicio de sesión al servidor falso. Luego pueden usar estas credenciales para obtener acceso a los sistemas y comprometer información confidencial.
El uso de criptografía, como el cifrado, puede resultar eficaz para proteger la confidencialidad, la integridad y la disponibilidad de los activos de información cuando están en tránsito.
Además, las técnicas criptográficas también pueden mantener la seguridad de los activos de información cuando están en reposo.
El Control 8.24 aborda cómo las organizaciones pueden establecer e implementar reglas y procedimientos para el uso de la criptografía.
El Control 8.24 permite a las organizaciones mantener la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información implementando adecuadamente técnicas criptográficas y teniendo en cuenta los siguientes criterios:
El Control 8.24 es un tipo de control preventivo que requiere que las organizaciones establezcan reglas y procedimientos para el uso efectivo de técnicas criptográficas y así eliminar y minimizar riesgos al compromiso de los activos de información cuando se encuentran en tránsito o en reposo.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Configuración segura | #Proteccion |
El cumplimiento de 8.24 requiere el establecimiento e implementación de una política específica sobre criptografía, creando un proceso de gestión de claves eficaz y determinando el tipo de técnica criptográfica adecuada al nivel de clasificación de información asignado a un activo de información en particular.
Por lo tanto, el director de seguridad de la información debe ser responsable de establecer reglas y procedimientos apropiados para el uso de claves criptográficas.
Control 8.24 enumera siete requisitos que las organizaciones deben cumplir cuando utilizan técnicas criptográficas:
Además, el Control 8.24 destaca que las organizaciones deben tener en cuenta las leyes y requisitos que pueden restringir el uso de la criptografía, incluida la transferencia transfronteriza de información cifrada.
Finalmente, también se recomienda a las organizaciones que aborden la responsabilidad y la continuidad de los servicios cuando celebren acuerdos de servicio con terceros para la prestación de servicios criptográficos.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Las organizaciones deben definir y aplicar procedimientos seguros para la creación, almacenamiento, recuperación y destrucción de claves criptográficas.
En particular, las organizaciones deben implementar un sistema sólido de gestión de claves que incluya reglas, procesos y estándares para lo siguiente:
Por último, pero no menos importante, esta guía complementaria advierte a las organizaciones contra tres riesgos particulares:
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Después de resaltar que las organizaciones pueden garantizar la autenticidad de las claves públicas mediante métodos como los procesos de gestión de claves públicas, Control 8.24 explica cómo la criptografía puede ayudar a las organizaciones a lograr cuatro objetivos de seguridad de la información:
27002:2022/8.24 reemplaza 27002:2013/(10.1.1. Y 10.1.2)
Si bien el contenido de ambas versiones es casi idéntico, existen algunos cambios estructurales.
Mientras que la versión de 2013 abordó el uso de criptografía bajo dos controles separados, a saber, 10.1.1. Y 10.1.2, la versión 2022 combinó estos dos bajo un solo Control, 8.24.
ISMS.Online es el software líder en sistemas de gestión ISO 27002 que respalda el cumplimiento de ISO 27002 y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.
La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27002.
Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |