ISO 27002:2022, Control 8.26 – Requisitos de seguridad de las aplicaciones

Controles revisados ​​ISO 27002:2022

Reserve una demostración

multirracial,joven,creativo,personas,en,moderna,oficina.,exitosa,hipster,equipo

Programas de software de aplicación, como aplicaciones web., software de gráficos, software de bases de datos y software de procesamiento de pagos son vitales para muchas operaciones comerciales críticas.

Sin embargo, estas aplicaciones a menudo están expuestas a Vulnerabilidades de seguridad que pueden resultar en el compromiso de información confidencial..

Por ejemplo, Equifax, una agencia de crédito con sede en EE. UU., no aplicó un parche de seguridad en un marco de aplicación de sitio web utilizado para manejar las quejas de los clientes. Los ciberatacantes utilizaron vulnerabilidades de seguridad en la aplicación web para infiltrarse en las redes corporativas de Equifax y robar datos confidenciales de alrededor de 145 millones de personas.

El Control 8.26 aborda cómo Las organizaciones pueden establecer y aplicar requisitos de seguridad de la información. para el desarrollo, uso y adquisición de aplicaciones.

Propósito del Control 8.26

Control 8.26 permite a las organizaciones proteger los activos de información almacenados o procesados ​​a través de aplicaciones identificando y aplicando requisitos de seguridad de la información adecuados.

Tabla de atributos

El Control 8.26 es un tipo de control preventivo que previene riesgos a la integridad, disponibilidad y confidencialidad de los activos de información almacenados en la aplicación mediante el uso de medidas de seguridad de la información adecuadas.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger#Seguridad de aplicaciones
#Seguridad del sistema y de la red		#Proteccion
#Defensa
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Propiedad del Control 8.26

El Director de Seguridad de la Información, con el apoyo de especialistas en seguridad de la información, debe ser responsable de la identificación, aprobación e implementación de los requisitos de información para la adquisición, uso y desarrollo de aplicaciones.

Orientación general sobre cumplimiento

La Orientación General señala que las organizaciones deben llevar a cabo una Evaluación de riesgos para determinar el tipo de requisitos de seguridad de la información. apropiado para una aplicación particular.

Si bien el contenido y los tipos de requisitos de seguridad de la información pueden variar dependiendo de la naturaleza de la solicitud, los requisitos deben abordar lo siguiente:

  • El grado de confianza asignado a la identidad de entidades específicas de acuerdo con el Control 5.17, 8.2 y 8.5.

  • Identificación del nivel de clasificación. asignado a activos de información para ser almacenado o procesado por la aplicación.

  • Si existe la necesidad de segregar el acceso a las funciones y la información almacenada en la aplicación.

  • Si la aplicación es resistente a ataques cibernéticos como inyecciones de SQL o intercepciones no intencionadas como el desbordamiento del búfer.

  • Requisitos y estándares legales, reglamentarios y estatutarios aplicables a la transacción procesada, generada, almacenada o completada por la aplicación.

  • Consideraciones de privacidad para todas las partes involucradas.

  • Requisitos para la protección de datos confidenciales.

  • Protección de la información cuando está en uso, en tránsito o en reposo.

  • Ya sea cifrado seguro de las comunicaciones entre todas las partes relevantes es necesario.

  • Implementación de controles de entrada, como validación de entrada o realización de comprobaciones de integridad.

  • Realización de controles automatizados.

  • Realizar controles de salida, teniendo en cuenta quién puede visualizar las salidas y la autorización de Acceso.

  • Necesidad de imponer restricciones al contenido de los campos de “texto libre” para proteger la difusión de datos confidenciales de manera incontrolable.

  • Requisitos que surgen de las necesidades comerciales, como el registro de transacciones y los requisitos de no repudio.

  • Requisitos impuestos por otros controles de seguridad como los sistemas de detección de fugas de datos.

  • Cómo manejar los mensajes de error.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Orientación complementaria sobre servicios transaccionales

El Control 8.26 requiere que las organizaciones tengan en cuenta las siguientes siete recomendaciones cuando una aplicación ofrece servicios transaccionales entre la organización y un socio:

  • El grado de confianza que cada parte en la transacción requiere en la identidad de la otra parte.

  • El grado de confianza requerido en la integridad de los datos comunicados o procesados ​​y la identificación de un mecanismo adecuado para detectar cualquier falta de integridad, incluidas herramientas como hash y firmas digitales.

  • Establecimiento de un proceso de autorización para determinar quién puede aprobar el contenido, firmar o aprobar documentos transaccionales esenciales.

  • Mantener la confidencialidad e integridad de los documentos críticos y acreditar el envío y recepción de dichos documentos.

  • Proteger y mantener la integridad y confidencialidad de todas las transacciones, como pedidos y recibos.

  • Requisitos durante qué período de tiempo las transacciones se mantendrán confidenciales.

  • Requisitos contractuales y requisitos relacionados con seguros.

Orientación complementaria sobre solicitudes de pedidos y pagos electrónicos

Cuando las aplicaciones incluyen funciones de pago y pedidos electrónicos, las organizaciones deben tener en cuenta lo siguiente:

  • Los requisitos garantizan que la confidencialidad y la integridad de la información del pedido no se vean comprometidas.

  • Determinar un grado apropiado de verificación para verificar los detalles de pago proporcionados por un cliente.

  • Prevenir la pérdida o duplicación de la información de la transacción.

  • Garantizar que la información relacionada con la información se almacene fuera de un entorno de acceso público, como en un medio de almacenamiento alojado en la propia intranet de la organización.

  • Cuando las organizaciones dependen de una autoridad externa confiable, como para la emisión de firmas digitales, deben garantizar que la seguridad esté integrada en todo el proceso.

Orientación complementaria sobre redes

Cuando se accede a las aplicaciones a través de redes, son vulnerables a amenazas como disputas contractuales, actividades fraudulentas, desvíos incorrectos, cambios no autorizados en el contenido de las comunicaciones o pérdida de confidencialidad de información confidencial.

Control 8.26 recomienda que las organizaciones realicen tareas integrales evaluaciones de riesgos para identificar los controles apropiados como el uso de criptografía para garantizar la seguridad de las transferencias de información.

¿Estás listo para
la nueva ISO 27002

Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/8.26 reemplaza 27002:2013/(14.1.2 y 14.1.3)

Hay tres grandes diferencias entre las dos versiones.

Todas las aplicaciones versus aplicaciones que pasan a través de redes públicas

La versión ISO 27002:2013 no enumera los requisitos que se aplican a todas las aplicaciones: proporciona una lista de requisitos de seguridad de la información que deben considerarse para las aplicaciones que pasan a través de redes públicas.

Control 8.26 en la versión 2022, por el contrario, proporcionó una lista de requisitos de seguridad de la información que se aplican a todas las aplicaciones.

Orientación adicional sobre solicitudes de pedidos y pagos electrónicos

Control 8.26 en la versión 2022 contiene orientación específica sobre Aplicaciones de pedidos y pagos electrónicos. Por el contrario, la versión de 2013 no abordó este tema.

Requisito adicional sobre servicios transaccionales

Mientras que la versión 2022 y la versión 2013 son casi idénticas en términos de requisitos para los servicios transaccionales, la versión 2022 introduce un requisito adicional que no se aborda en la versión 2013:

  • Las organizaciones deben considerar los requisitos contractuales y los requisitos relacionados con los seguros.

Cómo ayuda ISMS.online

ISMS.online es una solución basada en la nube que ayuda a las empresas a demostrar el cumplimiento de la norma ISO 27002. La solución ISMS.online se puede utilizar para gestionar los requisitos de ISO 27002 y asegúrese de que su organización siga cumpliendo con el nuevo estándar.

Nuestra plataforma es fácil de usar y sencillo. No es sólo para personas altamente técnicas; es para todos en su empresa.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más