Ir al contenido
¡Trabaje de forma más inteligente con nuestra nueva navegación mejorada!
Vea cómo IO facilita el cumplimiento. Leer el blog
SGSI.online

ISO 27002:2022 – Control 8.27 – Principios de ingeniería y arquitectura de sistemas seguros

El Control 27002 de la norma ISO 2022:8.27 se centra en la integración de la arquitectura del sistema seguro y los principios de ingeniería a lo largo de todo el ciclo de vida del sistema para mitigar las vulnerabilidades y garantizar una seguridad sólida en todos los niveles.

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

Implementación del control 27002 de la norma ISO 8.27 para una mayor seguridad

Las composiciones complejas de los sistemas de información modernos y el panorama de amenazas a la seguridad cibernética en constante cambio hacen que los sistemas de información sean más vulnerables a amenazas de seguridad conocidas y potenciales.

Control 8.27, aborda cómo las organizaciones pueden eliminar amenazas a la seguridad de los sistemas de información mediante la creación de principios de ingeniería de sistemas seguros que se aplican a todas las fases del ciclo de vida del sistema de información.

Propósito del Control 8.27

Control 8.27 permite a las organizaciones mantener la seguridad de los sistemas de información durante las etapas de diseño, implementación y operación mediante el establecimiento e implementación de principios de ingeniería de sistemas seguros que los ingenieros de sistemas cumplen.

Tabla de Atributos de Control 8.27

El Control 8.27 es un tipo de control preventivo que requiere que las organizaciones eliminen las amenazas conocidas y potenciales a la confidencialidad, integridad y disponibilidad de los activos de información almacenado o procesado a través de sistemas de información, como medios de almacenamiento, bases de datos y aplicaciones, mediante el establecimiento de principios para la ingeniería de sistemas seguros.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Proteger #Seguridad de aplicaciones #Proteccion
#Integridad #Seguridad del sistema y de la red
#Disponibilidad


ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Empezar


Propiedad del Control 8.27

Jefe El Oficial de Seguridad de la Información debe ser considerado responsable para el establecimiento, mantenimiento e implementación de principios que rigen la ingeniería segura de sistemas de información.

Orientación general sobre cumplimiento

El control 8.27 destaca que Las organizaciones deben incorporar la seguridad en todas las capas de los sistemas de información., incluidos procesos de negocio, aplicaciones y arquitectura de datos.

Además, Los principios de ingeniería segura deben aplicarse a todas las actividades relacionadas con los sistemas de información. y debe estar sujeto a revisiones y actualizaciones periódicas teniendo en cuenta las amenazas emergentes y los patrones de ataque.

Además de los sistemas de información desarrollados y operados internamente, el Control 8.27 también se aplica a los sistemas de información creados por proveedores de servicios externos.

Por lo tanto, las organizaciones deben garantizar que las prácticas y estándares de los proveedores de servicios cumplan con sus propios principios de ingeniería segura.

Control 8.27 requiere principios de ingeniería de sistemas seguros para cubrir los ocho aspectos siguientes:

  • Orientación sobre métodos de autenticación de usuarios.
  • Orientación sobre control de sesión seguro.
  • Orientación sobre procedimientos de desinfección y validación de datos.
  • Cobertura análisis de todas las medidas de seguridad necesarios para proteger los activos y sistemas de información contra amenazas conocidas.
  • Análisis integral de las capacidades de las medidas de seguridad para identificar, eliminar y responder a amenazas a la seguridad.
  • Analizando Medidas de seguridad aplicadas a actividades comerciales específicas. como el cifrado de información.
  • Cómo se implementarán las medidas de seguridad y dónde. Esto puede incluir la integración de un control de seguridad específico dentro de la infraestructura técnica.
  • Cómo las diferentes medidas de seguridad funcionan juntas y operan como un conjunto combinado de controles.

Orientación sobre el principio de confianza cero

Las organizaciones deben considerar los siguientes principios de confianza cero:

  • Partiendo del supuesto de que los sistemas de la organización ya están comprometidos y la seguridad del perímetro de red definido ya no es efectiva.
  • Adoptar un enfoque de “nunca confiar y siempre verificar” para brindar acceso a los sistemas de información.
  • Proporcionar garantía de que las solicitudes realizadas a los sistemas de información estén protegidas con cifrado de extremo a extremo.
  • Implementar un mecanismo de verificación que asuma solicitudes de acceso a la información Los sistemas están hechos de redes externas abiertas.
  • Establecer “privilegios mínimos” y dinámica técnicas de control de acceso de acuerdo con el Control 5.15, 5,18 y 8.2. Esto cubre la autenticación y autorización de solicitudes de acceso a información sensible y sistemas de información considerando información contextual como las identidades de los usuarios como se define en el Control 5.16 y la clasificación de la información como se prescribe en el Control 5.12.
  • Autenticando siempre la identidad del solicitante y verificando las solicitudes de autorización para acceder a los sistemas de información. Estos procedimientos de autenticación y verificación deben realizarse de acuerdo con la información de autenticación en el Control 5.17, Identidades de usuario en el Control 5.16 y Multifactor en el Control 8.5.


subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Qué deberían cubrir las técnicas de ingeniería de sistemas seguros?

  • Adoptar e implementar principios de arquitectura segura, incluidos "seguridad por diseño", "defensa en profundidad", "fallar de forma segura", "desconfiar de las entradas de aplicaciones externas", "asumir una infracción", "privilegios mínimos", "usabilidad y manejabilidad" y " mínima funcionalidad”.
  • Adoptar y aplicar un proceso de revisión de diseño centrado en la seguridad para detectar seguridad de la información vulnerabilidades y garantizar que las medidas de seguridad estén identificadas y satisfagan los requisitos de seguridad.
  • Documentar y reconocer las medidas de seguridad que no cumplen con los requisitos.
  • Endurecimiento del sistema.

¿Qué criterios considerar al diseñar principios de ingeniería seguros?

Las organizaciones deben considerar lo siguiente al establecer principios de ingeniería de sistemas seguros:

  • La necesidad de integrar controles con una arquitectura de seguridad específica.
  • Infraestructura de seguridad técnica existente, incluida infraestructura de clave pública, gestión de identidades y prevención de fuga de datos.
  • Si la organización es capaz de construir y mantener la tecnología seleccionada.
  • Costo y tiempo necesarios para satisfacer los requisitos de seguridad y complejidad de dichos requisitos.
  • Mejores prácticas existentes.

Guía práctica sobre la aplicación de principios de ingeniería de sistemas seguros

El Control 8.27 señala que las organizaciones pueden poner en práctica principios de ingeniería seguros al configurar lo siguiente:

  • Tolerancia a fallos y métodos de resiliencia similares.
  • Técnicas de segregación como la virtualización.
  • Resistencia a la manipulación.

Además, el uso de La tecnología de virtualización segura puede ayudar a eliminar el riesgo. de interceptación entre dos aplicaciones que se ejecutan en el mismo dispositivo.

Por último, se señala que el uso de sistemas de resistencia a la manipulación puede ayudar a identificar la manipulación tanto lógica como física de los sistemas de información y evitar la extracción no autorizada de información.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/8.27 replaces 27002:2013/(14.2.5)

La versión 2022 introduce requisitos más completos en comparación con la versión 2013:

  1. A diferencia de la versión 2013, la versión 2022 proporciona orientación sobre qué principios de ingeniería segura deben cubrir.
  2. A diferencia de la versión 2013, la versión 2022 aborda los criterios que las organizaciones deben considerar al diseñar principios de ingeniería de sistemas seguros.
  3. La versión 2022 incluye orientación sobre el principio de confianza cero. La versión de 2013, por el contrario, no cubría esto.
  4. La versión 2022 incluye recomendaciones sobre qué técnicas de ingeniería seguras deberían aplicarse, como la “seguridad por diseño”. A diferencia de la versión de 2022, la versión de 2013 no hacía referencia a este tipo de técnicas.

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento para ISO / IEC 27002: 2022.

  • Hasta un 81% de progreso desde que inicias sesión.
  • Solución simple y de cumplimiento total.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.