Con el propósito de ISO 27002, Control 8.4 define “código fuente” como el código subyacente, las especificaciones y los planes utilizados para crear aplicaciones, programas y procesos que son propiedad de la propia organización.
Cuando se habla de acceso al código fuente, Control 8.4 concede la misma importancia a las herramientas de desarrollo (compiladores, entornos de prueba, etc.).
La gestión del código fuente representa un riesgo único a cualquier organización que tenga la necesidad de almacenarlo. Los elementos del código fuente críticos para el negocio incluyen datos de producción, detalles de configuración protegidos y aspectos de la propiedad intelectual de una organización.
Control 8.4 es un control preventivo esa modifica el riesgo estableciendo un conjunto de principios subyacentes de acceso a datos (de acuerdo con un conjunto más amplio de controles de acceso de la organización) que rigen el acceso de lectura/escritura a:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso #Seguridad de aplicaciones #Configuración segura | #Proteccion |
El Control 8.4 se ocupa de la capacidad de una organización para controlar el acceso a datos críticos para el negocio relacionados con el código fuente, herramientas de desarrollo e información comercialmente sensible, como bibliotecas de software.
Como tal, la propiedad debe residir en el Director de Seguridad de la Información (o equivalente organizacional), quien posee Responsabilidad de la seguridad general de la información y los datos de la organización. prácticas.
Control 8.4 aboga por un sistema de gestión de código fuente que permita a las organizaciones administrar de forma centralizada el acceso y la modificación del código fuente en todo su patrimonio de TIC.
Control 8.4 pide a las organizaciones que consideren el acceso al código fuente junto con un conjunto de privilegios estrictos de lectura y/o escritura, según la naturaleza del código fuente, desde dónde se accede y quién accede a él.
Al buscar controlar el acceso al código fuente, las organizaciones deberían:
El único cumplimiento
solución que necesitas
Reserva tu demostración
27002:2022-8.4 replaces 27002:2014-9.4.5 (Acceso al código fuente), y contiene tres diferencias principales en su enfoque para establecer un sistema de gestión de código fuente (un concepto que está ausente en 27002:2014-9.4.5)
ISMS.Online simplifica la proceso de implementación ISO 27002 proporcionando todos los recursos, información y herramientas necesarios en un solo lugar. Te permite crear un SGSI con sólo unos pocos clics del mouse, lo que de otro modo llevaría mucho tiempo si se hiciera manualmente.
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
