La autenticación segura es el método principal con el que interactúan los usuarios humanos y no humanos cuando intentan utilizar los activos de TIC de una organización.
Durante la última década, la tecnología de autenticación ha experimentado un cambio fundamental desde las validaciones tradicionales basadas en nombre de usuario y contraseña a una Variedad de técnicas complementarias. que involucran información biométrica, controles de acceso lógico y físico, autenticaciones de dispositivos externos, códigos SMS y contraseñas de un solo uso (OTP).
27002:2022-8.5 pone todo esto en contexto y asesora a las organizaciones sobre cómo deben ser precisamente controlar el acceso a sus sistemas y activos TIC a través de una puerta de enlace de inicio de sesión segura.
Control 8.5 es un control preventivo esa mantiene el riesgo mediante la implementación de tecnología y el establecimiento de procedimientos de autenticación segura para temas específicos que garanticen que las identidades y los usuarios humanos y no humanos se sometan a un procedimiento de autenticación sólido y seguro al intentar acceder a recursos de TIC.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
El Control 8.5 se ocupa de la capacidad de una organización para controlar el acceso a su red (y la información y los datos contenidos en ella) en puntos críticos, como una puerta de enlace de inicio de sesión.
Si bien el control aborda la seguridad de la información y los datos como un concepto más amplio, la orientación operativa es principalmente de naturaleza técnica.
Como tal, la propiedad debe residir en el Jefe de TI (o equivalente organizacional), quien posee Responsabilidad de las funciones diarias de administración de TI de la organización..
El Control 8.5 pide a las organizaciones que consideren controles de autenticación que sean relevantes para el tipo y la sensibilidad de los datos y la red a los que se accede, incluidos:
El objetivo primordial de los controles de autenticación segura de una organización debería ser prevenir y/o minimizar el riesgo de acceso no autorizado a sus sistemas protegidos.
Para lograr esto, Control 8.5 describe 12 puntos de orientación principales. Las organizaciones deberían:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
ISO recomienda que, debido a una serie de factores relacionados con la eficacia y la integridad de los procesos de inicio de sesión biométricos en comparación con las medidas tradicionales (contraseñas, MFA, tokens, etc.), los métodos de autenticación biométrica no debe usarse de forma aislada, y acompañado de al menos otra técnica de inicio de sesión.
27002:2022-8.5 reemplaza a 27002:2014-9.4.2 (Procedimientos de inicio de sesión seguros).
27002:2022-8.5 contiene el Los mismos 12 puntos de orientación que su homólogo de 2013., con pequeños ajustes en la redacción, y sigue el mismo conjunto de principios de seguridad subyacentes.
En línea con el auge de las tecnologías de inicio de sesión biométrico y MFA durante la última década, 27002:2022-8.5 contiene orientación explícita sobre el uso de ambas técnicas que las organizaciones deben considerar al formular su propio conjunto de controles de inicio de sesión.
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda Haga una lista de verificación de su proceso SGSI sobre la marcha para asegurarse de que cumpla con los requisitos de ISO 27000k. Usado correctamente, SGSI. en línea puede ayudarle a lograr la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |