La subcontratación de sistemas de TI y desarrollo de software a terceros tiene muchos beneficios para las empresas, como costos reducidos y mayor escalabilidad. Sin embargo, estas eficiencias no deberían lograrse a costa de la seguridad.
Por ejemplo, es posible que los proveedores de servicios externos no tengan controles estrictos de acceso a las redes o que no apliquen cifrado a nivel industrial a los datos almacenados en la nube, lo que pone en peligro los sistemas de TI y los productos de software.
Esto puede resultar en violaciones de datos y pérdida de disponibilidad, confidencialidad o integridad de los activos de información.
De acuerdo a una informe de Trustwave, la subcontratación de software y desarrollo de TI jugó un papel en más del 60% de todas las filtraciones de datos.
Teniendo en cuenta que la subcontratación conduce inevitablemente a la pérdida de control sobre el proceso de desarrollo y dificulta la aplicación y el mantenimiento de los requisitos de seguridad de la información, las organizaciones deben garantizar que las partes externas cumplan con los requisitos de seguridad de la información establecidos por la organización.
Control 8.30 permite a las organizaciones garantizar que se cumplan los requisitos de seguridad de la información establecidos cuando el desarrollo del sistema y el software se subcontrata a proveedores externos.
El Control 8.30 es de naturaleza tanto detectivesca como preventiva: requiere que las organizaciones supervisen y monitoreen todas las actividades de subcontratación y garanticen que el proceso de desarrollo subcontratado satisfaga los requisitos de seguridad de la información.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo #Detective | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger #Detectar | #Seguridad del sistema y de la red #Seguridad de aplicaciones #Seguridad de la relación con proveedores | #Gobernanza y Ecosistema #Proteccion |
El Director de Seguridad de la Información debe ser responsable de establecer e implementar los procedimientos y controles necesarios para garantizar que los proveedores externos comuniquen, acuerden y cumplan los requisitos de seguridad de la información.
La orientación general destaca que las organizaciones deben monitorear y verificar continuamente que la entrega del trabajo de desarrollo subcontratado satisfaga los requisitos de seguridad de la información impuestos al proveedor de servicios externo.
Control 8.30 recomienda que las organizaciones tengan en cuenta los siguientes 11 factores al subcontratar el desarrollo:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Para obtener orientación más detallada sobre la gestión de las relaciones con los proveedores, las organizaciones pueden consultar ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
En general, no existe ninguna diferencia material entre las dos versiones.
Las empresas pueden utilizar ISMS.Online para ayudarles con sus esfuerzos de cumplimiento de ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de seguridad, actualizarlos según sea necesario, probarlos y monitorear su eficacia.
Nuestra plataforma basada en la nube le permite gestionar rápida y fácilmente todos los aspectos de su SGSI, incluida la gestión de riesgos, políticas, planes, procedimientos y más, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
