¿Qué es ISO 27002 Control 8.25 y por qué es importante?
En los años 90, las empresas solían realizar pruebas de seguridad para productos y sistemas de software sólo durante la etapa de prueba, en la fase final del ciclo de vida del desarrollo del software.
Como resultado, a menudo no lograban detectar ni eliminar vulnerabilidades, errores y fallas críticas.
Para identificar y abordar las vulnerabilidades de seguridad desde el principio, las organizaciones deben incorporar consideraciones de seguridad en todas las etapas del ciclo de vida del desarrollo, desde la planificación hasta la implementación.
Control 8.25 trata sobre cómo las organizaciones pueden establecer e implementar reglas para construir productos y sistemas de software seguros.
Propósito del Control 8.25
Control 8.25 permite a las organizaciones diseñar estándares de seguridad de la información y aplicarlos a lo largo de todo el ciclo de vida de desarrollo seguro de productos y sistemas de software.
Tabla de Atributos de Control 8.25
Control 8.25 es de naturaleza preventiva, ya que requiere que las organizaciones diseñen e implementen proactivamente reglas y controles que gobiernen todo el ciclo de vida de desarrollo de cada nuevo producto y sistema de software.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de aplicaciones | #Proteccion |
| #Integridad | #Seguridad del sistema y de la red | |||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.25
El Director de Seguridad de la Información debe ser responsable de la creación, implementación y mantenimiento de reglas y medidas para garantizar la seguridad del ciclo de vida del desarrollo.
Orientación general sobre cumplimiento
Control 8.25 contiene 10 requisitos que las organizaciones deben cumplir para crear productos, sistemas y arquitectura de software seguros:
- Los entornos de desarrollo, prueba y producción deben segregarse según el Control 8.31.
- Las organizaciones deben proporcionar orientación sobre:
- Consideraciones de seguridad en la metodología de desarrollo de software de acuerdo con el Control 8.27 y 8.28.
- Codificación segura para cada lenguaje de programación de acuerdo con 8.28.
- Las organizaciones deben establecer e implementar requisitos de seguridad que se apliquen a la fase de especificación y diseño de acuerdo con el Control 5.8.
- Las organizaciones deben definir listas de verificación de seguridad para los proyectos según el Control 5.8.
- Las organizaciones deben realizar pruebas de seguridad y del sistema, como pruebas de penetración y escaneo de códigos, de acuerdo con el Control 8.29.
- Las organizaciones deben crear repositorios seguros que almacenen los códigos fuente y la configuración de conformidad con los Controles 8.4 y 8.9.
- Las organizaciones deben mantener la seguridad en el control de versiones según lo prescrito en el Control 8.32.
- Las organizaciones deben garantizar que todo el personal involucrado en el desarrollo tenga suficientes conocimientos de seguridad de las aplicaciones y reciba la capacitación necesaria como se define en el Control 8.28.
- Los desarrolladores deben ser capaces de identificar y prevenir vulnerabilidades de seguridad como se establece en el Control 8.28.
- Las organizaciones deben cumplir con los requisitos de licencia y deben evaluar la viabilidad de métodos alternativos rentables según lo prescrito en el Control 8.30.
Además, si una organización subcontrata ciertas tareas de desarrollo a partes externas, debe garantizar que la parte externa cumpla con las reglas y procedimientos de la organización para el desarrollo seguro de software y sistemas.
Orientación complementaria sobre control 8.25
Control 8.25 señala que los productos, arquitecturas y sistemas de software también se pueden desarrollar dentro de aplicaciones, bases de datos o navegadores.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.25 replace 27002:2013/(14.2.1)
En general, hay dos diferencias clave.
La versión ISO 27002:2022 establece dos nuevos requisitos
Si bien la versión 2022 es similar en gran medida a la versión 2013, Control 8.25 impone dos nuevos requisitos a las organizaciones:
- Las organizaciones deben cumplir con los requisitos de licencia y deben evaluar la viabilidad de métodos alternativos rentables según lo prescrito en el Control 8.30.
- Las organizaciones deben realizar pruebas de seguridad y del sistema, como pruebas de penetración y escaneo de códigos, de acuerdo con el Control 8.29.
La versión ISO 27002:2013 hace referencia explícita a la reutilización del código
La versión de 2013 indicó explícitamente que el Control 14.2.1 se aplica tanto a nuevos desarrollos como a la reutilización de código. Por el contrario, Control 8.25 no hacía referencia a escenarios de reutilización de código.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento de ISO/IEC 27002:2022.
- Hasta un 81% de progreso desde que inicias sesión.
- Solución simple y de cumplimiento total.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
