Garantizar la seguridad de la información en el desarrollo externalizado: ISO 27002 Control 8.30
La subcontratación de sistemas de TI y desarrollo de software a terceros tiene muchos beneficios para las empresas, como costos reducidos y mayor escalabilidad. Sin embargo, estas eficiencias no deberían lograrse a costa de la seguridad.
Por ejemplo, es posible que los proveedores de servicios externos no tengan controles estrictos de acceso a las redes o que no apliquen cifrado a nivel industrial a los datos almacenados en la nube, lo que pone en peligro los sistemas de TI y los productos de software.
Esto puede resultar en violaciones de datos y pérdida de disponibilidad, confidencialidad o integridad de los activos de información.
De acuerdo a una informe de Trustwave, la subcontratación de software y desarrollo de TI jugó un papel en más del 60% de todas las filtraciones de datos.
Teniendo en cuenta que la subcontratación conduce inevitablemente a la pérdida de control sobre el proceso de desarrollo y dificulta la aplicación y el mantenimiento de los requisitos de seguridad de la información, las organizaciones deben garantizar que las partes externas cumplan con los requisitos de seguridad de la información establecidos por la organización.
Propósito del Control 8.30
Control 8.30 permite a las organizaciones garantizar que se cumplan los requisitos de seguridad de la información establecidos cuando el desarrollo del sistema y el software se subcontrata a proveedores externos.
Atributos de Control 8.30
El Control 8.30 es de naturaleza tanto detectivesca como preventiva: requiere que las organizaciones supervisen y monitoreen todas las actividades de subcontratación y garanticen que el proceso de desarrollo subcontratado satisfaga los requisitos de seguridad de la información.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Seguridad del sistema y de la red | #Gobernanza y Ecosistema |
| #Detective | #Integridad | #Proteger | #Seguridad de aplicaciones | #Proteccion |
| #Disponibilidad | #Detectar | #Seguridad de la relación con proveedores |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.30
El Director de Seguridad de la Información debe ser responsable de establecer e implementar los procedimientos y controles necesarios para garantizar que los proveedores externos comuniquen, acuerden y cumplan los requisitos de seguridad de la información.
Orientación general sobre cumplimiento
La orientación general destaca que las organizaciones deben monitorear y verificar continuamente que la entrega del trabajo de desarrollo subcontratado satisfaga los requisitos de seguridad de la información impuestos al proveedor de servicios externo.
Control 8.30 recomienda que las organizaciones tengan en cuenta los siguientes 11 factores al subcontratar el desarrollo:
- Celebrar acuerdos, incluidos acuerdos de licencia, que aborden la propiedad sobre el código y los derechos de propiedad intelectual.
- Imponer requisitos contractuales apropiados para un diseño y codificación seguros de acuerdo con el Control 8.25 y 8.29.
- Establecer un modelo de amenazas para ser adoptado por desarrolladores externos.
- Llevar a cabo un procedimiento de prueba de aceptación para garantizar la calidad y precisión del trabajo entregado.
- Evidencia de que se logran las capacidades de privacidad y seguridad mínimamente requeridas. Esto puede lograrse mediante informes de aseguramiento.
- Mantener evidencia de cómo se han realizado pruebas suficientes para proteger el sistema o software de TI entregado contra contenido malicioso.
- Mantener evidencia de cómo se han aplicado pruebas suficientes para proteger contra las vulnerabilidades identificadas.
- Establecer acuerdos de custodia que cubran el código fuente del software. Por ejemplo, puede abordar lo que sucederá si el proveedor externo cierra.
- El acuerdo con el proveedor debe conllevar el derecho de la organización a realizar auditorías sobre los procesos y controles de desarrollo.
- Establecer e implementar requisitos de seguridad para el entorno de desarrollo.
- Las organizaciones también deben considerar las leyes, estatutos y regulaciones aplicables.
Orientación complementaria
Para obtener orientación más detallada sobre la gestión de las relaciones con los proveedores, las organizaciones pueden consultar ISO/IEC 27036.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.30 replaces 27002:2013/(14.2.7)
En general, no existe ninguna diferencia material entre las dos versiones.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
Las empresas pueden utilizar ISMS.Online para ayudarles con sus esfuerzos de cumplimiento de ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de seguridad, actualizarlos según sea necesario, probarlos y monitorear su eficacia.
Nuestra plataforma basada en la nube le permite gestionar rápida y fácilmente todos los aspectos de su SGSI, incluida la gestión de riesgos, políticas, planes, procedimientos y más, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
