En los años 90, las empresas solían realizar pruebas de seguridad para productos y sistemas de software sólo durante la etapa de prueba, en la fase final del ciclo de vida del desarrollo del software.
Como resultado, a menudo no lograban detectar ni eliminar vulnerabilidades, errores y fallas críticas.
Para identificar y abordar las vulnerabilidades de seguridad desde el principio, las organizaciones deben incorporar consideraciones de seguridad en todas las etapas del ciclo de vida del desarrollo, desde la planificación hasta la implementación.
Control 8.25 trata sobre cómo las organizaciones pueden establecer e implementar reglas para construir productos y sistemas de software seguros.
Control 8.25 permite a las organizaciones diseñar estándares de seguridad de la información y aplicarlos a lo largo de todo el ciclo de vida de desarrollo seguro de productos y sistemas de software.
Control 8.25 es de naturaleza preventiva, ya que requiere que las organizaciones diseñen e implementen proactivamente reglas y controles que gobiernen todo el ciclo de vida de desarrollo de cada nuevo producto y sistema de software.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de aplicaciones #Seguridad del sistema y de la red | #Proteccion |
El Director de Seguridad de la Información debe ser responsable de la creación, implementación y mantenimiento de reglas y medidas para garantizar la seguridad del ciclo de vida del desarrollo.
Control 8.25 contiene 10 requisitos que las organizaciones deben cumplir para crear productos, sistemas y arquitectura de software seguros:
Además, si una organización subcontrata ciertas tareas de desarrollo a partes externas, debe garantizar que la parte externa cumpla con las reglas y procedimientos de la organización para el desarrollo seguro de software y sistemas.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Control 8.25 señala que los productos, arquitecturas y sistemas de software también se pueden desarrollar dentro de aplicaciones, bases de datos o navegadores.
27002:2022/8.25 replace 27002:2013/(14.2.1)
En general, hay dos diferencias clave.
Si bien la versión 2022 es similar en gran medida a la versión 2013, Control 8.25 impone dos nuevos requisitos a las organizaciones:
La versión de 2013 indicó explícitamente que el Control 14.2.1 se aplica tanto a nuevos desarrollos como a la reutilización de código. Por el contrario, Control 8.25 no hacía referencia a escenarios de reutilización de código.
La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento de ISO/IEC 27002:2022.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |