Cómo garantizar la seguridad desde el desarrollo hasta la implementación: explicación del control 27002 de la norma ISO 8.29
Los ciberdelincuentes inventan constantemente nuevas formas y mejoran sus estrategias para infiltrarse en las redes corporativas y obtener acceso a activos de información confidencial.
Por ejemplo, los ciberatacantes pueden aprovechar una vulnerabilidad relacionada con el mecanismo de autenticación en el código fuente para invadir las redes. Además, también pueden intentar manipular a los usuarios finales del lado del cliente para que realicen acciones para infiltrarse en las redes, obtener acceso a datos o llevar a cabo ataques de ransomware.
Si una aplicación, software o sistema de TI se implementa en el mundo real con vulnerabilidades, esto expondría los activos de información confidencial al riesgo de verse comprometidos.
Por lo tanto, las organizaciones deben establecer e implementar un procedimiento de prueba de seguridad adecuado para identificar y remediar todas las vulnerabilidades en los sistemas de TI antes de implementarlos en el mundo real.
Propósito del Control 8.29
Control 8.29 permite a las organizaciones verificar que todos los requisitos de seguridad de la información se cumplan cuando se ponen en funcionamiento nuevas aplicaciones, bases de datos, software o códigos mediante el establecimiento y la aplicación de un sólido procedimiento de prueba de seguridad.
Esto ayuda a las organizaciones a detectar y eliminar vulnerabilidades en el código, redes, servidores, aplicaciones u otros sistemas de TI antes de que se utilicen en el mundo real.
Atributos de Control 8.29
El Control 8.29 es de carácter preventivo. Requiere que las organizaciones sometan los nuevos sistemas de información y sus versiones nuevas/actualizadas a un proceso de prueba de seguridad antes de su lanzamiento al entorno de producción.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Seguridad de aplicaciones | #Proteccion |
| #Integridad | #Garantía de seguridad de la información | |||
| #Disponibilidad | #Seguridad del sistema y de la red |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.29
Considerando que el Control 8.29 implica el establecimiento, mantenimiento e implementación de un procedimiento de prueba de seguridad que se aplicará a todos los sistemas de información nuevos, ya sean desarrollados internamente o por partes externas, el Oficial de Seguridad de la Información debe ser responsable del cumplimiento.
Orientación general sobre cumplimiento
Las organizaciones deben incorporar pruebas de seguridad en el proceso de prueba de todos los sistemas y deben garantizar que todos los sistemas de información nuevos y sus versiones nuevas/actualizadas satisfagan los requisitos de seguridad de la información cuando se encuentren en el entorno de producción.
El Control 8.29 enumera tres elementos que deben incluirse en el proceso de prueba de seguridad:
- Funciones de seguridad como autenticación de usuario como se define en el Control 8..5, restricción de acceso como se prescribe en el Control 8.3 y criptografía como se aborda en el Control 8.24.
- Codificación segura como se describe en el Control 8.28.
- Configuraciones seguras según lo prescrito en los Controles 8.9, 8.20, 8.22. Esto puede cubrir firewalls y sistemas operativos.
¿Qué debe incluir un plan de prueba?
Al diseñar planes de pruebas de seguridad, las organizaciones deben tener en cuenta el nivel de criticidad y la naturaleza del sistema de información en cuestión.
El plan de pruebas de seguridad debe cubrir lo siguiente:
- Establecimiento de un cronograma detallado de las actividades y pruebas a realizar.
- Entradas y salidas que se espera que ocurran bajo un conjunto dado de condiciones.
- Criterios para valorar los resultados.
- Si corresponde, decisiones para tomar acciones basadas en los resultados.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Desarrollo interno
Cuando los sistemas de TI son desarrollados por el equipo de desarrollo interno, este equipo debe llevar a cabo las pruebas de seguridad iniciales para garantizar que el sistema de TI cumpla con los requisitos de seguridad.
A esta prueba inicial le seguirá una prueba de aceptación de independencia de acuerdo con el Control 5.8.
En relación al desarrollo interno se debe considerar lo siguiente:
- Llevar a cabo actividades de revisión de código para detectar y eliminar fallas de seguridad, incluidas las entradas y condiciones esperadas.
- Realizar escaneos de vulnerabilidades para detectar configuraciones inseguras y otras vulnerabilidades.
- Realización de pruebas de penetración para detectar código y diseño inseguros.
Outsourcing
Las organizaciones deben seguir un estricto proceso de adquisición cuando subcontratan el desarrollo o cuando compran componentes de TI a terceros.
Las organizaciones deben celebrar un acuerdo con sus proveedores y este acuerdo debe abordar los requisitos de seguridad de la información según lo prescrito en el Control 5.20.
Además, las organizaciones deben asegurarse de que los productos y servicios que compran cumplan con los estándares de seguridad de la información.
Orientación complementaria sobre control 8.29
Las organizaciones pueden crear múltiples entornos de prueba para llevar a cabo diversas pruebas, como pruebas funcionales, no funcionales y de rendimiento.
Además, pueden crear entornos de prueba virtuales y luego configurar estos entornos para probar los sistemas de TI en diversas configuraciones operativas.
El Control 8.29 también señala que las pruebas de seguridad efectivas requieren que las organizaciones prueben y monitoreen los entornos, herramientas y tecnologías de prueba.
Por último, las organizaciones deben tener en cuenta el nivel de sensibilidad y criticidad de los datos al determinar el número de capas de metapruebas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.29 reemplaza a 27002:2013/(14.2.8 y 14.2.9)
Cambios estructurales
Mientras que la versión 2022 aborda las pruebas seguras bajo un solo control, la versión 2013 se refiere a pruebas seguras en dos controles separados; Pruebas de seguridad del sistema en Control 14.2.8 y Pruebas de aceptación del sistema en Control 14.2.9
Control 8.29 trae requisitos más completos
A diferencia de la versión 2013, la versión 2022 incluye requisitos y recomendaciones más detallados sobre lo siguiente:
- Plan de pruebas de seguridad y qué debe incluir.
- Criterios de pruebas de seguridad para el desarrollo interno de sistemas informáticos.
- Proceso de pruebas de seguridad y lo que debería implicar.
- Uso de múltiples entornos de prueba.
La versión de 2013 fue más detallada en relación con las pruebas de aceptación
A diferencia de la versión 2022, la versión 2013 era más prescriptiva para las pruebas de aceptación del sistema. Incluía requisitos tales como pruebas de seguridad de los componentes recibidos y el uso de herramientas automatizadas.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.online agiliza el proceso de implementación de ISO 27002 al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.
