Garantizar cambios seguros y controlados con el control 27002 de la norma ISO 2022:8.32
Los cambios en los sistemas de información, como reemplazar un dispositivo de red, crear una nueva instancia de base de datos o actualizar el software, a menudo son necesarios para mejorar el rendimiento, reducir costos y aumentar la eficiencia.
Sin embargo, esos cambios en las instalaciones y sistemas de procesamiento de información, si no se implementan adecuadamente, pueden comprometer los activos de información almacenados o procesados por estas instalaciones.
El Control 8.32 aborda cómo las organizaciones pueden establecer y aplicar procedimientos de gestión de cambios para monitorear, revisar y controlar los cambios realizados en las instalaciones y sistemas de procesamiento de información.
Propósito del Control 8.32
El Control 8.32 permite a las organizaciones mantener la seguridad de los activos de información al ejecutar cambios en las instalaciones y sistemas de procesamiento de información mediante el establecimiento, implementación y gestión de reglas y procedimientos de gestión de cambios.
Tabla de Atributos de Control 8.32
El Control 8.32 es de carácter preventivo. Requiere que las organizaciones definan, documenten, especifiquen y apliquen procesos de control de cambios que gobiernen todo el ciclo de vida de los sistemas de información, desde el diseño inicial hasta la implementación y el uso.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de aplicaciones | #Proteccion |
| #Integridad | #Seguridad del sistema y de la red | |||
| #Disponibilidad |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.32
Considerando que el cumplimiento del Control 8.32 implica el establecimiento y aplicación de procedimientos de control de cambios que se aplican a todas las etapas del ciclo de vida de los sistemas de información, los directores de seguridad de la información, con el apoyo de expertos en el dominio, deben ser responsables de diseñar y hacer cumplir estos procedimientos.
Orientación general sobre cumplimiento
Todos los cambios importantes en los sistemas de información y la introducción de nuevos sistemas deben estar sujetos a un conjunto acordado de reglas y procedimientos. Estos cambios deben especificarse y documentarse formalmente. Además, deben pasar por los procesos de prueba y control de calidad.
Para garantizar que todos los cambios cumplan con las reglas y estándares de control de cambios, las organizaciones deben asignar responsabilidades de gestión a la dirección adecuada y deben establecer los procedimientos necesarios.
El Control 8.32 enumera nueve elementos que deben incluirse en el procedimiento de gestión de cambios:
- Las organizaciones deben planificar y medir el impacto probable de los cambios planificados, teniendo en cuenta todas las dependencias.
- Implementar controles de autorización para cambios.
- Informar a las partes internas y externas relevantes sobre los cambios planificados.
- Establecer e implementar procesos de pruebas y pruebas de aceptación de cambios de acuerdo con el Control 8.29.
- Cómo se implementarán los cambios, incluido cómo se implementarán en la práctica.
- Establecer planes y procedimientos de emergencia y contingencia. Esto también puede incluir el establecimiento de un procedimiento alternativo.
- Mantener registros de todos los cambios y actividades relacionadas, incluidas todas las actividades enumeradas anteriormente (1 a 6).
- La documentación operativa según lo requerido en el Control 5.37 y los procedimientos del usuario se revisan y actualizan para reflejar los cambios.
- Los planes de continuidad de las TIC y los procedimientos de recuperación y respuesta deben revisarse y revisarse para reflejar los cambios.
Por último, se señala que las organizaciones deberían integrar en la mayor medida posible los procedimientos de control de cambios para el software y la infraestructura TIC.
Orientación complementaria sobre control 8.32
Los cambios en los entornos de producción, como los sistemas operativos y las bases de datos, pueden comprometer la integridad y disponibilidad de las aplicaciones, en particular la transferencia de software del entorno de desarrollo al de producción.
Otro riesgo contra el que las organizaciones deben tener cuidado es que cambiar el software en el entorno de producción puede tener consecuencias no deseadas.
Para prevenir estos riesgos, las organizaciones deben realizar pruebas de los componentes TIC en un entorno aislado de los entornos de desarrollo y producción.
Esto permitirá a las organizaciones tener un mayor control sobre el nuevo software y proporcionará una capa adicional de protección para los datos del mundo real utilizados con fines de prueba. Esta protección adicional se puede lograr mediante parches y paquetes de servicio.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.32 reemplaza a 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
En general, la versión de 2013 fue más prescriptiva en comparación con la versión de 2022 en términos de requisitos para los procedimientos de control de cambios.
Hay tres diferencias clave a destacar entre las dos versiones.
La versión ISO 27002:2013 fue más detallada en términos de lo que debería implicar el 'procedimiento de cambio'
Tanto la versión 27002:2022 como la 27002:2013 enumeran lo que debe incluir un 'procedimiento de cambio' de manera no exhaustiva.
Sin embargo, la versión de 2013 contenía los siguientes elementos a los que no se hacía referencia en la versión de 2022:
- El código crítico de seguridad debe identificarse y revisarse para remediar las vulnerabilidades.
- Las organizaciones deben preservar el control de versiones de todas las actualizaciones implementadas en el software.
- Las organizaciones deben identificar y documentar una lista de todos los componentes de hardware y software que necesitan modificaciones y actualizaciones.
La versión de 2013 abordó 'Cambios en las plataformas operativas'
El Control 14.2.3 en la versión 27002:2013 abordó cómo las organizaciones pueden minimizar los efectos adversos y las interrupciones en las operaciones comerciales cuando se realizan cambios en los sistemas operativos.
La versión 27002:2022, por el contrario, no incluye requisitos para dichos cambios.
La versión de 2013 abordó 'Cambios en los paquetes de software'
Control 14.2.4 en la versión 27002:2013 abordó "Cambios en paquetes de software". Por el contrario, la versión 27002:2022 no contiene requisitos para dichos cambios.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27000k.
Usado correctamente, SGSI. online puede ayudarle a conseguir la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
