Programas de software de aplicación, como aplicaciones web., software de gráficos, software de bases de datos y software de procesamiento de pagos son vitales para muchas operaciones comerciales críticas.
Sin embargo, estas aplicaciones a menudo están expuestas a Vulnerabilidades de seguridad que pueden resultar en el compromiso de información confidencial..
Por ejemplo, Equifax, una agencia de crédito con sede en EE. UU., no aplicó un parche de seguridad en un marco de aplicación de sitio web utilizado para manejar las quejas de los clientes. Los ciberatacantes utilizaron vulnerabilidades de seguridad en la aplicación web para infiltrarse en las redes corporativas de Equifax y robar datos confidenciales de alrededor de 145 millones de personas.
El Control 8.26 aborda cómo Las organizaciones pueden establecer y aplicar requisitos de seguridad de la información. para el desarrollo, uso y adquisición de aplicaciones.
Control 8.26 permite a las organizaciones proteger los activos de información almacenados o procesados a través de aplicaciones identificando y aplicando requisitos de seguridad de la información adecuados.
El Control 8.26 es un tipo de control preventivo que previene riesgos a la integridad, disponibilidad y confidencialidad de los activos de información almacenados en la aplicación mediante el uso de medidas de seguridad de la información adecuadas.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de aplicaciones #Seguridad del sistema y de la red | #Proteccion #Defensa |
El Director de Seguridad de la Información, con el apoyo de especialistas en seguridad de la información, debe ser responsable de la identificación, aprobación e implementación de los requisitos de información para la adquisición, uso y desarrollo de aplicaciones.
La Orientación General señala que las organizaciones deben llevar a cabo una Evaluación de riesgos para determinar el tipo de requisitos de seguridad de la información. apropiado para una aplicación particular.
Si bien el contenido y los tipos de requisitos de seguridad de la información pueden variar dependiendo de la naturaleza de la solicitud, los requisitos deben abordar lo siguiente:
El único cumplimiento
solución que necesitas
Reserva tu demostración
El Control 8.26 requiere que las organizaciones tengan en cuenta las siguientes siete recomendaciones cuando una aplicación ofrece servicios transaccionales entre la organización y un socio:
Cuando las aplicaciones incluyen funciones de pago y pedidos electrónicos, las organizaciones deben tener en cuenta lo siguiente:
Cuando se accede a las aplicaciones a través de redes, son vulnerables a amenazas como disputas contractuales, actividades fraudulentas, desvíos incorrectos, cambios no autorizados en el contenido de las comunicaciones o pérdida de confidencialidad de información confidencial.
Control 8.26 recomienda que las organizaciones realicen tareas integrales evaluaciones de riesgos para identificar los controles apropiados como el uso de criptografía para garantizar la seguridad de las transferencias de información.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
27002:2022/8.26 reemplaza 27002:2013/(14.1.2 y 14.1.3)
Hay tres grandes diferencias entre las dos versiones.
La versión ISO 27002:2013 no enumera los requisitos que se aplican a todas las aplicaciones: proporciona una lista de requisitos de seguridad de la información que deben considerarse para las aplicaciones que pasan a través de redes públicas.
Control 8.26 en la versión 2022, por el contrario, proporcionó una lista de requisitos de seguridad de la información que se aplican a todas las aplicaciones.
Control 8.26 en la versión 2022 contiene orientación específica sobre Aplicaciones de pedidos y pagos electrónicos. Por el contrario, la versión de 2013 no abordó este tema.
Mientras que la versión 2022 y la versión 2013 son casi idénticas en términos de requisitos para los servicios transaccionales, la versión 2022 introduce un requisito adicional que no se aborda en la versión 2013:
ISMS.online es una solución basada en la nube que ayuda a las empresas a demostrar el cumplimiento de la norma ISO 27002. La solución ISMS.online se puede utilizar para gestionar los requisitos de ISO 27002 y asegúrese de que su organización siga cumpliendo con el nuevo estándar.
Nuestra plataforma es fácil de usar y sencillo. No es sólo para personas altamente técnicas; es para todos en su empresa.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |