Las malas prácticas de codificación, como la validación de entradas inadecuada y la generación de claves débiles, pueden exponer los sistemas de información a vulnerabilidades de seguridad y provocar ciberataques y comprometer activos de información confidencial.
Por ejemplo, en el infame Incidente del error Heartbleed, los piratas informáticos aprovecharon la validación de entrada incorrecta en el código para obtener acceso a más de 4 millones de datos de pacientes.
Por lo tanto, las organizaciones deben garantizar que se sigan los principios de codificación segura para que las prácticas de codificación deficientes no generen vulnerabilidades de seguridad.
Control 8.28 permite a las organizaciones prevenir riesgos y vulnerabilidades de seguridad que pueden surgir como resultado de prácticas deficientes de codificación de software mediante el diseño, implementación y revisión de principios apropiados de codificación de software seguro.
Control 8.28 es un tipo de control preventivo que ayuda a las organizaciones a mantener la seguridad de redes, sistemas y aplicaciones eliminando los riesgos que pueden surgir de un código de software mal diseñado.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de aplicaciones #Seguridad del sistema y de la red | #Proteccion |
Teniendo en cuenta que 8.28 requiere el diseño y la implementación de principios y procedimientos de codificación segura en toda la organización, el director de seguridad de la información debe ser responsable de tomar las medidas adecuadas para su cumplimiento.
El Control 8.28 requiere que las organizaciones establezcan e implementen procesos en toda la organización para la codificación segura que se aplique tanto a productos de software obtenidos de partes externas como a componentes de software de código abierto.
Además, las organizaciones deben mantenerse actualizadas con la evolución de las amenazas a la seguridad del mundo real y con la información más reciente sobre vulnerabilidades de seguridad del software conocidas o potenciales. Esto permitirá a las organizaciones mejorar e implementar principios sólidos de codificación de software seguro que sean efectivos contra las amenazas cibernéticas en evolución.
Se deben seguir los principios de codificación de software seguro tanto para nuevos proyectos de codificación como para operaciones de reutilización de software.
Estos principios deben respetarse tanto para las actividades internas de desarrollo de software como para la transferencia de los productos o servicios de software de la organización a terceros.
Al establecer un plan para los principios de codificación segura y determinar los requisitos previos para la codificación segura, las organizaciones deben cumplir con lo siguiente:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Las prácticas y procedimientos de codificación segura deben tener en cuenta lo siguiente para el proceso de codificación:
La Guía complementaria también señala que las pruebas de seguridad deben realizarse tanto durante como después del desarrollo de acuerdo con el Control 8.29.
Antes de poner el software en uso real en el entorno de aplicaciones en vivo, las organizaciones deben considerar lo siguiente:
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Las organizaciones deben garantizar que se utilice código relevante para la seguridad cuando sea necesario y que sea resistente a la manipulación.
Control 8.28 también enumera las siguientes recomendaciones para código relevante para la seguridad:
27002:2022/8.28 es un nuevo tipo de control.
Nuestra plataforma ha sido desarrollada específicamente para aquellos que son nuevos en la seguridad de la información o necesitan una manera fácil de aprender sobre ISO 27002 sin tener que perder tiempo aprendiendo desde cero o leyendo documentos extensos.
ISMS.Online viene equipado con todas las herramientas necesarias para lograr el cumplimiento, incluidas plantillas de documentos, listas de verificación y políticas que se pueden personalizar según sus necesidades.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |