Comprensión de la norma ISO 27002 Control 8.26: Requisitos de seguridad de las aplicaciones
Programas de software de aplicación, como aplicaciones web., software de gráficos, software de bases de datos y software de procesamiento de pagos son vitales para muchas operaciones comerciales críticas.
Sin embargo, estas aplicaciones a menudo están expuestas a Vulnerabilidades de seguridad que pueden resultar en el compromiso de información confidencial..
Por ejemplo, Equifax, una agencia de crédito con sede en EE. UU., no aplicó un parche de seguridad en un marco de aplicación de sitio web utilizado para manejar las quejas de los clientes. Los ciberatacantes utilizaron vulnerabilidades de seguridad en la aplicación web para infiltrarse en las redes corporativas de Equifax y robar datos confidenciales de alrededor de 145 millones de personas.
El Control 8.26 aborda cómo Las organizaciones pueden establecer y aplicar requisitos de seguridad de la información. para el desarrollo, uso y adquisición de aplicaciones.
Propósito del Control 8.26
Control 8.26 permite a las organizaciones proteger los activos de información almacenados o procesados a través de aplicaciones identificando y aplicando requisitos de seguridad de la información adecuados.
Tabla de Atributos de Control 8.26
El Control 8.26 es un tipo de control preventivo que previene riesgos a la integridad, disponibilidad y confidencialidad de los activos de información almacenados en la aplicación mediante el uso de medidas de seguridad de la información adecuadas.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de aplicaciones | #Proteccion |
| #Integridad | #Seguridad del sistema y de la red | #Defensa | ||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.26
El Director de Seguridad de la Información, con el apoyo de especialistas en seguridad de la información, debe ser responsable de la identificación, aprobación e implementación de los requisitos de información para la adquisición, uso y desarrollo de aplicaciones.
Orientación general sobre cumplimiento
La Orientación General señala que las organizaciones deben llevar a cabo una Evaluación de riesgos para determinar el tipo de requisitos de seguridad de la información. apropiado para una aplicación particular.
Si bien el contenido y los tipos de requisitos de seguridad de la información pueden variar dependiendo de la naturaleza de la solicitud, los requisitos deben abordar lo siguiente:
- El grado de confianza asignado a la identidad de entidades específicas de acuerdo con el Control 5.17, 8.2 y 8.5.
- Identificación del nivel de clasificación. asignado a activos de información para ser almacenado o procesado por la aplicación.
- Si existe la necesidad de segregar el acceso a las funciones y la información almacenada en la aplicación.
- Si la aplicación es resistente a ataques cibernéticos como inyecciones de SQL o intercepciones no intencionadas como el desbordamiento del búfer.
- Requisitos y estándares legales, reglamentarios y estatutarios aplicables a la transacción procesada, generada, almacenada o completada por la aplicación.
- Consideraciones de privacidad para todas las partes involucradas.
- Requisitos para la protección de datos confidenciales.
- Protección de la información cuando está en uso, en tránsito o en reposo.
- Ya sea cifrado seguro de las comunicaciones entre todas las partes relevantes es necesario.
- Implementación de controles de entrada, como validación de entrada o realización de comprobaciones de integridad.
- Realización de controles automatizados.
- Realizar controles de salida, teniendo en cuenta quién puede visualizar las salidas y la autorización de Acceso.
- Necesidad de imponer restricciones al contenido de los campos de “texto libre” para proteger la difusión de datos confidenciales de manera incontrolable.
- Requisitos que surgen de las necesidades comerciales, como el registro de transacciones y los requisitos de no repudio.
- Requisitos impuestos por otros controles de seguridad como los sistemas de detección de fugas de datos.
- Cómo manejar los mensajes de error.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación complementaria sobre servicios transaccionales
El Control 8.26 requiere que las organizaciones tengan en cuenta las siguientes siete recomendaciones cuando una aplicación ofrece servicios transaccionales entre la organización y un socio:
- El grado de confianza que cada parte en la transacción requiere en la identidad de la otra parte.
- El grado de confianza requerido en la integridad de los datos comunicados o procesados y la identificación de un mecanismo adecuado para detectar cualquier falta de integridad, incluidas herramientas como hash y firmas digitales.
- Establecimiento de un proceso de autorización para determinar quién puede aprobar el contenido, firmar o aprobar documentos transaccionales esenciales.
- Mantener la confidencialidad e integridad de los documentos críticos y acreditar el envío y recepción de dichos documentos.
- Proteger y mantener la integridad y confidencialidad de todas las transacciones, como pedidos y recibos.
- Requisitos durante qué período de tiempo las transacciones se mantendrán confidenciales.
- Requisitos contractuales y requisitos relacionados con seguros.
Orientación complementaria sobre solicitudes de pedidos y pagos electrónicos
Cuando las aplicaciones incluyen funciones de pago y pedidos electrónicos, las organizaciones deben tener en cuenta lo siguiente:
- Los requisitos garantizan que la confidencialidad y la integridad de la información del pedido no se vean comprometidas.
- Determinar un grado apropiado de verificación para verificar los detalles de pago proporcionados por un cliente.
- Prevenir la pérdida o duplicación de la información de la transacción.
- Garantizar que la información relacionada con la información se almacene fuera de un entorno de acceso público, como en un medio de almacenamiento alojado en la propia intranet de la organización.
- Cuando las organizaciones dependen de una autoridad externa confiable, como para la emisión de firmas digitales, deben garantizar que la seguridad esté integrada en todo el proceso.
Orientación complementaria sobre redes
Cuando se accede a las aplicaciones a través de redes, son vulnerables a amenazas como disputas contractuales, actividades fraudulentas, desvíos incorrectos, cambios no autorizados en el contenido de las comunicaciones o pérdida de confidencialidad de información confidencial.
Control 8.26 recomienda que las organizaciones realicen tareas integrales evaluaciones de riesgos para identificar los controles apropiados como el uso de criptografía para garantizar la seguridad de las transferencias de información.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.26 reemplaza 27002:2013/(14.1.2 y 14.1.3)
Hay tres grandes diferencias entre las dos versiones.
Todas las aplicaciones versus aplicaciones que pasan a través de redes públicas
La versión ISO 27002:2013 no enumera los requisitos que se aplican a todas las aplicaciones: proporciona una lista de requisitos de seguridad de la información que deben considerarse para las aplicaciones que pasan a través de redes públicas.
Control 8.26 en la versión 2022, por el contrario, proporcionó una lista de requisitos de seguridad de la información que se aplican a todas las aplicaciones.
Orientación adicional sobre solicitudes de pedidos y pagos electrónicos
Control 8.26 en la versión 2022 contiene orientación específica sobre Aplicaciones de pedidos y pagos electrónicos. Por el contrario, la versión de 2013 no abordó este tema.
Requisito adicional sobre servicios transaccionales
Mientras que la versión 2022 y la versión 2013 son casi idénticas en términos de requisitos para los servicios transaccionales, la versión 2022 introduce un requisito adicional que no se aborda en la versión 2013:
- Las organizaciones deben considerar los requisitos contractuales y los requisitos relacionados con los seguros.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISMS.online es una solución basada en la nube que ayuda a las empresas a demostrar el cumplimiento de la norma ISO 27002. La solución ISMS.online se puede utilizar para gestionar los requisitos de ISO 27002 y asegúrese de que su organización siga cumpliendo con el nuevo estándar.
Nuestra plataforma es fácil de usar y sencillo. No es sólo para personas altamente técnicas; es para todos en su empresa.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
