Implementación del control 27002 de la norma ISO 8.27 para una mayor seguridad
Las composiciones complejas de los sistemas de información modernos y el panorama de amenazas a la seguridad cibernética en constante cambio hacen que los sistemas de información sean más vulnerables a amenazas de seguridad conocidas y potenciales.
Control 8.27, aborda cómo las organizaciones pueden eliminar amenazas a la seguridad de los sistemas de información mediante la creación de principios de ingeniería de sistemas seguros que se aplican a todas las fases del ciclo de vida del sistema de información.
Propósito del Control 8.27
Control 8.27 permite a las organizaciones mantener la seguridad de los sistemas de información durante las etapas de diseño, implementación y operación mediante el establecimiento e implementación de principios de ingeniería de sistemas seguros que los ingenieros de sistemas cumplen.
Tabla de Atributos de Control 8.27
El Control 8.27 es un tipo de control preventivo que requiere que las organizaciones eliminen las amenazas conocidas y potenciales a la confidencialidad, integridad y disponibilidad de los activos de información almacenado o procesado a través de sistemas de información, como medios de almacenamiento, bases de datos y aplicaciones, mediante el establecimiento de principios para la ingeniería de sistemas seguros.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de aplicaciones | #Proteccion |
| #Integridad | #Seguridad del sistema y de la red | |||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.27
Jefe El Oficial de Seguridad de la Información debe ser considerado responsable para el establecimiento, mantenimiento e implementación de principios que rigen la ingeniería segura de sistemas de información.
Orientación general sobre cumplimiento
El control 8.27 destaca que Las organizaciones deben incorporar la seguridad en todas las capas de los sistemas de información., incluidos procesos de negocio, aplicaciones y arquitectura de datos.
Además, Los principios de ingeniería segura deben aplicarse a todas las actividades relacionadas con los sistemas de información. y debe estar sujeto a revisiones y actualizaciones periódicas teniendo en cuenta las amenazas emergentes y los patrones de ataque.
Además de los sistemas de información desarrollados y operados internamente, el Control 8.27 también se aplica a los sistemas de información creados por proveedores de servicios externos.
Por lo tanto, las organizaciones deben garantizar que las prácticas y estándares de los proveedores de servicios cumplan con sus propios principios de ingeniería segura.
Control 8.27 requiere principios de ingeniería de sistemas seguros para cubrir los ocho aspectos siguientes:
- Orientación sobre métodos de autenticación de usuarios.
- Orientación sobre control de sesión seguro.
- Orientación sobre procedimientos de desinfección y validación de datos.
- Servicios análisis de todas las medidas de seguridad necesarios para proteger los activos y sistemas de información contra amenazas conocidas.
- Análisis integral de las capacidades de las medidas de seguridad para identificar, eliminar y responder a amenazas a la seguridad.
- Analizando Medidas de seguridad aplicadas a actividades comerciales específicas. como el cifrado de información.
- Cómo se implementarán las medidas de seguridad y dónde. Esto puede incluir la integración de un control de seguridad específico dentro de la infraestructura técnica.
- Cómo las diferentes medidas de seguridad funcionan juntas y operan como un conjunto combinado de controles.
Orientación sobre el principio de confianza cero
Las organizaciones deben considerar los siguientes principios de confianza cero:
- Partiendo del supuesto de que los sistemas de la organización ya están comprometidos y la seguridad del perímetro de red definido ya no es efectiva.
- Adoptar un enfoque de “nunca confiar y siempre verificar” para brindar acceso a los sistemas de información.
- Proporcionar garantía de que las solicitudes realizadas a los sistemas de información estén protegidas con cifrado de extremo a extremo.
- Implementar un mecanismo de verificación que asuma solicitudes de acceso a la información Los sistemas están hechos de redes externas abiertas.
- Establecer “privilegios mínimos” y dinámica técnicas de control de acceso de acuerdo con el Control 5.15, 5,18 y 8.2. Esto cubre la autenticación y autorización de solicitudes de acceso a información sensible y sistemas de información considerando información contextual como las identidades de los usuarios como se define en el Control 5.16 y la clasificación de la información como se prescribe en el Control 5.12.
- Autenticando siempre la identidad del solicitante y verificando las solicitudes de autorización para acceder a los sistemas de información. Estos procedimientos de autenticación y verificación deben realizarse de acuerdo con la información de autenticación en el Control 5.17, Identidades de usuario en el Control 5.16 y Multifactor en el Control 8.5.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
¿Qué deberían cubrir las técnicas de ingeniería de sistemas seguros?
- Adoptar e implementar principios de arquitectura segura, incluidos "seguridad por diseño", "defensa en profundidad", "fallar de forma segura", "desconfiar de las entradas de aplicaciones externas", "asumir una infracción", "privilegios mínimos", "usabilidad y manejabilidad" y " mínima funcionalidad”.
- Adoptar y aplicar un proceso de revisión de diseño centrado en la seguridad para detectar seguridad de la información vulnerabilidades y garantizar que las medidas de seguridad estén identificadas y satisfagan los requisitos de seguridad.
- Documentar y reconocer las medidas de seguridad que no cumplen con los requisitos.
- Endurecimiento del sistema.
¿Qué criterios considerar al diseñar principios de ingeniería seguros?
Las organizaciones deben considerar lo siguiente al establecer principios de ingeniería de sistemas seguros:
- La necesidad de integrar controles con una arquitectura de seguridad específica.
- Infraestructura de seguridad técnica existente, incluida infraestructura de clave pública, gestión de identidades y prevención de fuga de datos.
- Si la organización es capaz de construir y mantener la tecnología seleccionada.
- Costo y tiempo necesarios para satisfacer los requisitos de seguridad y complejidad de dichos requisitos.
- Mejores prácticas existentes.
Guía práctica sobre la aplicación de principios de ingeniería de sistemas seguros
El Control 8.27 señala que las organizaciones pueden poner en práctica principios de ingeniería seguros al configurar lo siguiente:
- Tolerancia a fallos y métodos de resiliencia similares.
- Técnicas de segregación como la virtualización.
- Resistencia a la manipulación.
Además, el uso de La tecnología de virtualización segura puede ayudar a eliminar el riesgo. de interceptación entre dos aplicaciones que se ejecutan en el mismo dispositivo.
Por último, se señala que el uso de sistemas de resistencia a la manipulación puede ayudar a identificar la manipulación tanto lógica como física de los sistemas de información y evitar la extracción no autorizada de información.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.27 replaces 27002:2013/(14.2.5)
La versión 2022 introduce requisitos más completos en comparación con la versión 2013:
- A diferencia de la versión 2013, la versión 2022 proporciona orientación sobre qué principios de ingeniería segura deben cubrir.
- A diferencia de la versión 2013, la versión 2022 aborda los criterios que las organizaciones deben considerar al diseñar principios de ingeniería de sistemas seguros.
- La versión 2022 incluye orientación sobre el principio de confianza cero. La versión de 2013, por el contrario, no cubría esto.
- La versión 2022 incluye recomendaciones sobre qué técnicas de ingeniería seguras deberían aplicarse, como la “seguridad por diseño”. A diferencia de la versión de 2022, la versión de 2013 no hacía referencia a este tipo de técnicas.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento para ISO / IEC 27002: 2022.
- Hasta un 81% de progreso desde que inicias sesión.
- Solución simple y de cumplimiento total.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
