Cómo garantizar la seguridad de los sistemas de información durante las auditorías: explicación del control 27002 de la norma ISO 8.34
Las pruebas de auditoría desempeñan un papel fundamental en la detección y eliminación de riesgos y vulnerabilidades de seguridad en los sistemas de información.
Sin embargo, a pesar de la proceso de auditoría, ya sea que se realice en entornos operativos, de prueba o de desarrollo, puede exponer información confidencial a riesgos de divulgación no autorizada o pérdida de integridad y disponibilidad.
El Control 8.34 trata de cómo las organizaciones pueden mantener el seguridad de los activos de información durante las pruebas de auditoría.
Propósito del Control 8.34
El Control 8.34 permite a las organizaciones eliminar y mitigar los riesgos para el seguridad de los sistemas de información y a la continuidad de las operaciones comerciales mediante el establecimiento y aplicación de medidas y controles adecuados, como restricciones de acceso y limitaciones de acceso de sólo lectura.
Tabla de Atributos de Control 8.34
El Control 8.34 es de carácter preventivo ya que requiere la La alta dirección y el auditor planificar y acordar las pruebas de auditoría. procedimientos, restricciones y controles previos a la realización de auditorías.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad del sistema y de la red | #Gobernanza y Ecosistema |
| #Integridad | #Protección de la información | #Proteccion | ||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 8.34
La cosa El equipo directivo debe ser responsable de planificar y acordar los procedimientos de auditoría. y crear y aplicar las medidas necesarias.
Orientación general sobre cumplimiento
El Control 8.34 enumera ocho requisitos específicos que las organizaciones deben considerar:
- La dirección adecuada y el auditor deberían acordar el acceso a los sistemas y activos de información.
- Acuerdo sobre el alcance de las pruebas de auditoría técnica a realizar.
- Las organizaciones solo pueden proporcionar acceso de solo lectura a la información y al software. Si no es posible utilizar la técnica de solo lectura, un administrador con los derechos de acceso necesarios puede obtener acceso a los sistemas o datos en nombre del auditor.
- Si se autoriza una solicitud de acceso, las organizaciones deben primero verificar que los dispositivos utilizados para acceder a los sistemas cumplan con los requisitos de seguridad antes de proporcionar acceso.
- Sólo se debe proporcionar acceso a copias aisladas. de archivos extraídos del sistema. Estas copias deben eliminarse permanentemente una vez finalizada la auditoría, a menos que exista la obligación de conservar esos archivos. Si es posible el acceso de solo lectura, este control no se aplica.
- Las solicitudes de los auditores para realizar procesamientos especiales, como la implementación de herramientas de auditoría, deben ser acordadas por la dirección.
- Si un La auditoría corre el riesgo de afectar la disponibilidad del sistema., la auditoría debe realizarse fuera del horario comercial para mantener la disponibilidad de la información.
- Solicitudes de acceso realizados para las auditorías deben registrarse para la pista de auditoría.
Orientación complementaria sobre control 8.34
Cuando se realizan auditorías en entornos de prueba o desarrollo, las organizaciones deben tener cuidado con los siguientes riesgos:
- Compromiso de la integridad del código.
- Pérdida de confidencialidad de información sensible.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/8.34 replaces 27002:2013/(12.7.1)
Aunque la versión 2022 es similar en gran medida a la versión 2013, existen dos diferencias clave.
La versión ISO 27002:2022 introduce un nuevo requisito
La versión 2022 introduce el siguiente requisito al que no se hacía referencia en la versión 2013:
Si se autoriza una solicitud de acceso, las organizaciones deben primero verificar que los dispositivos utilizados para acceder a los sistemas cumplan con los requisitos de seguridad antes de proporcionar acceso.
La versión 2022 aborda entornos de prueba y desarrollo
En la Guía complementaria, la versión 2022 advierte a las organizaciones contra la los riesgos de seguridad debido a auditorías realizadas en entornos de prueba y desarrollo. La versión de 2013, por el contrario, no hacía referencia a los entornos de prueba y desarrollo.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Nuestra plataforma es intuitivo y fácil de usar. No es sólo para gente muy técnica; es para todos en su organización. Le recomendamos que involucre al personal de todos los niveles de su negocio en el proceso de construcción de su ISMS, porque eso te ayuda a construir un sistema verdaderamente sostenible.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
