ISO 27002:2022, Control 8.24 – Uso de criptografía

Controles revisados ​​ISO 27002:2022

Reserve una demostración

jóvenes,negocios,colegas,trabajando,en,una,ocupada,abierta,plan,oficina

Cuando la información se transmite entre redes y dispositivos, los ciberatacantes pueden utilizar diversas técnicas para robar información confidencial durante el tránsito, alterar el contenido de la información, hacerse pasar por el remitente/destinatario para obtener acceso no autorizado a la información o interceptar la transferencia de información.

Por ejemplo, los ciberdelincuentes pueden utilizar la técnica de ataque man-in-the-middle (MITM), interceptar la transmisión de datos y hacerse pasar por el servidor para persuadir al remitente a que revele sus credenciales de inicio de sesión al servidor falso. Luego pueden usar estas credenciales para obtener acceso a los sistemas y comprometer información confidencial.

El uso de criptografía, como el cifrado, puede resultar eficaz para proteger la confidencialidad, la integridad y la disponibilidad de los activos de información cuando están en tránsito.

Además, las técnicas criptográficas también pueden mantener la seguridad de los activos de información cuando están en reposo.

El Control 8.24 aborda cómo las organizaciones pueden establecer e implementar reglas y procedimientos para el uso de la criptografía.

Propósito del Control 8.24

El Control 8.24 permite a las organizaciones mantener la confidencialidad, integridad, autenticidad y disponibilidad de los activos de información implementando adecuadamente técnicas criptográficas y teniendo en cuenta los siguientes criterios:

  • Necesidades del negocio.

  • Requisitos de seguridad de la información.

  • Requisitos legales, contractuales y organizativos relacionados con el uso de criptografía.

Atributos de Control 8.24

El Control 8.24 es un tipo de control preventivo que requiere que las organizaciones establezcan reglas y procedimientos para el uso efectivo de técnicas criptográficas y así eliminar y minimizar riesgos al compromiso de los activos de información cuando se encuentran en tránsito o en reposo.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger#Configuración segura#Proteccion
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Propiedad del Control 8.24

El cumplimiento de 8.24 requiere el establecimiento e implementación de una política específica sobre criptografía, creando un proceso de gestión de claves eficaz y determinando el tipo de técnica criptográfica adecuada al nivel de clasificación de información asignado a un activo de información en particular.

Por lo tanto, el director de seguridad de la información debe ser responsable de establecer reglas y procedimientos apropiados para el uso de claves criptográficas.

Orientación general sobre cumplimiento

Control 8.24 enumera siete requisitos que las organizaciones deben cumplir cuando utilizan técnicas criptográficas:

  1. Las organizaciones deben crear y mantener una política temática específica sobre el uso de la criptografía. Esta política es esencial para maximizar los beneficios de las técnicas criptográficas y reduce los riesgos que pueden surgir del uso de la criptografía. También se señala que esta política debe cubrir los principios generales que rigen la protección de la información.

  2. Las organizaciones deben considerar el nivel de sensibilidad de los activos de información y el nivel de clasificación de la información que se les asigna cuando deciden sobre el tipo, la solidez y la calidad del algoritmo de cifrado.

  3. Las organizaciones deben implementar técnicas criptográficas cuando la información se transfiere a dispositivos móviles o a equipos de medios de almacenamiento o cuando la información se almacena en estos dispositivos.

  4. Las organizaciones deben abordar cuestiones relacionadas con la gestión de claves, incluida la creación y protección de claves criptográficas y el plan de recuperación de datos cifrados en caso de que las claves se pierdan o se vean comprometidas.

  5. Las organizaciones deben establecer las funciones y responsabilidades de lo siguiente:

    • Establecimiento e implementación de las reglas sobre cómo se utilizarán las técnicas criptográficas.

    • Cómo se manejarán las claves, incluido cómo se generarán.
  6. La adopción y aprobación de estándares en toda la organización para los algoritmos criptográficos, la solidez del cifrado y las prácticas de uso de la criptografía.

  7. La organización debe abordar cómo la información cifrada puede interferir con los controles que implican la inspección de contenido, como la detección de malware.

Además, el Control 8.24 destaca que las organizaciones deben tener en cuenta las leyes y requisitos que pueden restringir el uso de la criptografía, incluida la transferencia transfronteriza de información cifrada.

Finalmente, también se recomienda a las organizaciones que aborden la responsabilidad y la continuidad de los servicios cuando celebren acuerdos de servicio con terceros para la prestación de servicios criptográficos.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Orientación complementaria sobre gestión de claves

Las organizaciones deben definir y aplicar procedimientos seguros para la creación, almacenamiento, recuperación y destrucción de claves criptográficas.

En particular, las organizaciones deben implementar un sistema sólido de gestión de claves que incluya reglas, procesos y estándares para lo siguiente:

  • Generación de claves criptográficas para diferentes sistemas y aplicaciones.

  • Emisión y adquisición de certificados de clave pública.

  • Distribución de claves a los destinatarios previstos, incluido el proceso de activación de claves.

  • Almacenamiento de claves y cómo las partes autorizadas pueden acceder a las claves.

  • Cambio de llaves.

  • Manejo de claves comprometidas.

  • Revocación de claves por el motivo por el cual están comprometidas o cuando personas autorizadas abandonan una organización.

  • Recuperación de llaves perdidas.

  • Copia de seguridad y archivo de claves.

  • Destruyendo llaves.

  • Mantener un registro de todas las actividades relacionadas con cada clave.

  • Determinación de fechas de activación y desactivación de claves.

  • Atender solicitudes legales para tener acceso a claves.

Por último, pero no menos importante, esta guía complementaria advierte a las organizaciones contra tres riesgos particulares:

  • Las claves secretas y protegidas deben protegerse contra el uso no autorizado.

  • El equipo utilizado para crear o almacenar claves de cifrado debe protegerse mediante medidas de seguridad físicas.

  • Las organizaciones deben mantener la autenticidad de las claves públicas.

¿Estás listo para
la nueva ISO 27002

Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

¿Cuáles son los beneficios de la criptografía?

Después de resaltar que las organizaciones pueden garantizar la autenticidad de las claves públicas mediante métodos como los procesos de gestión de claves públicas, Control 8.24 explica cómo la criptografía puede ayudar a las organizaciones a lograr cuatro objetivos de seguridad de la información:

  1. Confidencialidad: La criptografía protege y mantiene la confidencialidad de los datos tanto en tránsito como en reposo.

  2. Integridad y autenticidad: Las firmas digitales y los códigos de autenticación pueden garantizar la autenticidad y la integridad de la información comunicada.

  3. No repudio: Los métodos criptográficos proporcionan evidencia de todos los eventos o acciones realizadas, como la recepción de información.

  4. Autenticación: Los métodos criptográficos permiten a las organizaciones verificar la identidad de los usuarios que solicitan acceso a sistemas y aplicaciones.

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/8.24 reemplaza 27002:2013/(10.1.1. Y 10.1.2)

Si bien el contenido de ambas versiones es casi idéntico, existen algunos cambios estructurales.

Mientras que la versión de 2013 abordó el uso de criptografía bajo dos controles separados, a saber, 10.1.1. Y 10.1.2, la versión 2022 combinó estos dos bajo un solo Control, 8.24.

Cómo ayuda ISMS.online

ISMS.Online es el software líder en sistemas de gestión ISO 27002 que respalda el cumplimiento de ISO 27002 y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.

La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27002.

Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más