Los cambios en los sistemas de información, como reemplazar un dispositivo de red, crear una nueva instancia de base de datos o actualizar el software, a menudo son necesarios para mejorar el rendimiento, reducir costos y aumentar la eficiencia.
Sin embargo, esos cambios en las instalaciones y sistemas de procesamiento de información, si no se implementan adecuadamente, pueden comprometer los activos de información almacenados o procesados por estas instalaciones.
El Control 8.32 aborda cómo las organizaciones pueden establecer y aplicar procedimientos de gestión de cambios para monitorear, revisar y controlar los cambios realizados en las instalaciones y sistemas de procesamiento de información.
El Control 8.32 permite a las organizaciones mantener la seguridad de los activos de información al ejecutar cambios en las instalaciones y sistemas de procesamiento de información mediante el establecimiento, implementación y gestión de reglas y procedimientos de gestión de cambios.
El Control 8.32 es de carácter preventivo. Requiere que las organizaciones definan, documenten, especifiquen y apliquen procesos de control de cambios que gobiernen todo el ciclo de vida de los sistemas de información, desde el diseño inicial hasta la implementación y el uso.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de aplicaciones #Seguridad del sistema y de la red | #Proteccion |
Considerando que el cumplimiento del Control 8.32 implica el establecimiento y aplicación de procedimientos de control de cambios que se aplican a todas las etapas del ciclo de vida de los sistemas de información, los directores de seguridad de la información, con el apoyo de expertos en el dominio, deben ser responsables de diseñar y hacer cumplir estos procedimientos.
Todos los cambios importantes en los sistemas de información y la introducción de nuevos sistemas deben estar sujetos a un conjunto acordado de reglas y procedimientos. Estos cambios deben especificarse y documentarse formalmente. Además, deben pasar por los procesos de prueba y control de calidad.
Para garantizar que todos los cambios cumplan con las reglas y estándares de control de cambios, las organizaciones deben asignar responsabilidades de gestión a la dirección adecuada y deben establecer los procedimientos necesarios.
El Control 8.32 enumera nueve elementos que deben incluirse en el procedimiento de gestión de cambios:
Por último, se señala que las organizaciones deberían integrar en la mayor medida posible los procedimientos de control de cambios para el software y la infraestructura TIC.
Los cambios en los entornos de producción, como los sistemas operativos y las bases de datos, pueden comprometer la integridad y disponibilidad de las aplicaciones, en particular la transferencia de software del entorno de desarrollo al de producción.
Otro riesgo contra el que las organizaciones deben tener cuidado es que cambiar el software en el entorno de producción puede tener consecuencias no deseadas.
Para prevenir estos riesgos, las organizaciones deben realizar pruebas de los componentes TIC en un entorno aislado de los entornos de desarrollo y producción.
Esto permitirá a las organizaciones tener un mayor control sobre el nuevo software y proporcionará una capa adicional de protección para los datos del mundo real utilizados con fines de prueba. Esta protección adicional se puede lograr mediante parches y paquetes de servicio.
El único cumplimiento
solución que necesitas
Reserva tu demostración
27002:2022/8.32 reemplaza a 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
En general, la versión de 2013 fue más prescriptiva en comparación con la versión de 2022 en términos de requisitos para los procedimientos de control de cambios.
Hay tres diferencias clave a destacar entre las dos versiones.
Tanto la versión 27002:2022 como la 27002:2013 enumeran lo que debe incluir un 'procedimiento de cambio' de manera no exhaustiva.
Sin embargo, la versión de 2013 contenía los siguientes elementos a los que no se hacía referencia en la versión de 2022:
El Control 14.2.3 en la versión 27002:2013 abordó cómo las organizaciones pueden minimizar los efectos adversos y las interrupciones en las operaciones comerciales cuando se realizan cambios en los sistemas operativos.
La versión 27002:2022, por el contrario, no incluye requisitos para dichos cambios.
Control 14.2.4 en la versión 27002:2013 abordó "Cambios en paquetes de software". Por el contrario, la versión 27002:2022 no contiene requisitos para dichos cambios.
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27000k.
Usado correctamente, SGSI. online puede ayudarle a conseguir la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
