Los ciberdelincuentes inventan constantemente nuevas formas y mejoran sus estrategias para infiltrarse en las redes corporativas y obtener acceso a activos de información confidencial.
Por ejemplo, los ciberatacantes pueden aprovechar una vulnerabilidad relacionada con el mecanismo de autenticación en el código fuente para invadir las redes. Además, también pueden intentar manipular a los usuarios finales del lado del cliente para que realicen acciones para infiltrarse en las redes, obtener acceso a datos o llevar a cabo ataques de ransomware.
Si una aplicación, software o sistema de TI se implementa en el mundo real con vulnerabilidades, esto expondría los activos de información confidencial al riesgo de verse comprometidos.
Por lo tanto, las organizaciones deben establecer e implementar un procedimiento de prueba de seguridad adecuado para identificar y remediar todas las vulnerabilidades en los sistemas de TI antes de implementarlos en el mundo real.
Control 8.29 permite a las organizaciones verificar que todos los requisitos de seguridad de la información se cumplan cuando se ponen en funcionamiento nuevas aplicaciones, bases de datos, software o códigos mediante el establecimiento y la aplicación de un sólido procedimiento de prueba de seguridad.
Esto ayuda a las organizaciones a detectar y eliminar vulnerabilidades en el código, redes, servidores, aplicaciones u otros sistemas de TI antes de que se utilicen en el mundo real.
El Control 8.29 es de carácter preventivo. Requiere que las organizaciones sometan los nuevos sistemas de información y sus versiones nuevas/actualizadas a un proceso de prueba de seguridad antes de su lanzamiento al entorno de producción.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Seguridad de aplicaciones #Garantía de seguridad de la información #Seguridad del sistema y de la red | #Proteccion |
Considerando que el Control 8.29 implica el establecimiento, mantenimiento e implementación de un procedimiento de prueba de seguridad que se aplicará a todos los sistemas de información nuevos, ya sean desarrollados internamente o por partes externas, el Oficial de Seguridad de la Información debe ser responsable del cumplimiento.
Las organizaciones deben incorporar pruebas de seguridad en el proceso de prueba de todos los sistemas y deben garantizar que todos los sistemas de información nuevos y sus versiones nuevas/actualizadas satisfagan los requisitos de seguridad de la información cuando se encuentren en el entorno de producción.
El Control 8.29 enumera tres elementos que deben incluirse en el proceso de prueba de seguridad:
Al diseñar planes de pruebas de seguridad, las organizaciones deben tener en cuenta el nivel de criticidad y la naturaleza del sistema de información en cuestión.
El plan de pruebas de seguridad debe cubrir lo siguiente:
Cuando los sistemas de TI son desarrollados por el equipo de desarrollo interno, este equipo debe llevar a cabo las pruebas de seguridad iniciales para garantizar que el sistema de TI cumpla con los requisitos de seguridad.
A esta prueba inicial le seguirá una prueba de aceptación de independencia de acuerdo con el Control 5.8.
En relación al desarrollo interno se debe considerar lo siguiente:
Las organizaciones deben seguir un estricto proceso de adquisición cuando subcontratan el desarrollo o cuando compran componentes de TI a terceros.
Las organizaciones deben celebrar un acuerdo con sus proveedores y este acuerdo debe abordar los requisitos de seguridad de la información según lo prescrito en el Control 5.20.
Además, las organizaciones deben asegurarse de que los productos y servicios que compran cumplan con los estándares de seguridad de la información.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Las organizaciones pueden crear múltiples entornos de prueba para llevar a cabo diversas pruebas, como pruebas funcionales, no funcionales y de rendimiento.
Además, pueden crear entornos de prueba virtuales y luego configurar estos entornos para probar los sistemas de TI en diversas configuraciones operativas.
El Control 8.29 también señala que las pruebas de seguridad efectivas requieren que las organizaciones prueben y monitoreen los entornos, herramientas y tecnologías de prueba.
Por último, las organizaciones deben tener en cuenta el nivel de sensibilidad y criticidad de los datos al determinar el número de capas de metapruebas.
27002:2022/8.29 reemplaza 27002:2013/(14.2.8 y 14.2.9)
Mientras que la versión 2022 aborda las pruebas seguras bajo un solo control, la versión 2013 se refiere a pruebas seguras en dos controles separados; Pruebas de seguridad del sistema en Control 14.2.8 y Pruebas de aceptación del sistema en Control 14.2.9
A diferencia de la versión 2013, la versión 2022 incluye requisitos y recomendaciones más detallados sobre lo siguiente:
A diferencia de la versión 2022, la versión 2013 era más prescriptiva para las pruebas de aceptación del sistema. Incluía requisitos tales como pruebas de seguridad de los componentes recibidos y el uso de herramientas automatizadas.
ISMS.online agiliza el proceso de implementación de ISO 27002 al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
