Propósito del Control 8.7
El malware representa la mayor amenaza para la continuidad del negocio y la seguridad de la información que enfrentan las empresas en la era digital.
La comunidad comercial global enfrenta innumerables amenazas diarias provenientes de una amplia gama de vectores de ataque que buscan obtener acceso no autorizado a sistemas y datos confidenciales, extraer información y dinero, engañar a empleados modestos y aprovechar los datos rescatados para obtener sumas de dinero exorbitantes.
El enfoque de una organización respecto de la protección contra malware debe estar al frente y al centro de cualquier política de seguridad de la información.
Control 8.7 contiene una serie de medidas que ayudan a las organizaciones a educar a sus empleados sobre los peligros del software malicioso e implementar medidas prácticas significativas que detengan los ataques internos y externos antes de que tengan la oportunidad de causar interrupciones y pérdida de datos.
Tabla de Atributos de Control 8.7
Control 8.7 es un preventivo de triple propósito, detective y correctivo controlar eso mantiene el riesgo mediante la implementación de políticas y procedimientos que garanticen que la información, los datos y los activos de una organización estén protegidos contra el malware.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad del sistema y de la red | #Proteccion |
| #Detective | #Integridad | #Detectar | #Protección de la información | #Defensa |
| #Correctivo | #Disponibilidad |
Propiedad del Control 8.7
Si bien la protección contra malware implica pasos prácticos que deben tomar el personal administrativo de TIC y los usuarios estándar, el tema en sí es amplio y abarca múltiples funciones comerciales distintas con diferentes niveles de riesgo y numerosos controles ISO adicionales. Como tal, la propiedad del Control 8.7 debe residir en el Director de Información de Seguridad, o equivalente organizacional.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cumplimiento
Control 8.7 pide a las organizaciones que adopten un enfoque de protección contra malware que abarque cuatro áreas clave:
- Software anti-malware
- Concientización sobre la seguridad de la información organizacional (capacitación de usuarios)
- Sistemas controlados y acceso a cuentas.
- Gestión del cambio
ISO señala categóricamente que es un error suponer que el software antimalware por sí solo representa un conjunto adecuado de medidas. En cambio, Control 8.7 pide a las organizaciones que adopten un enfoque de extremo a extremo para la protección contra malware que comienza con la educación del usuario y termina con una red estrechamente controlada que minimice el riesgo de intrusión a través de una variedad de vectores de ataque.
Para lograr este objetivo, las organizaciones deben implementar controles que:
- Prevenir el uso de software no autorizado (ver Controles 8.19 y 8.32).
- Bloquee el tráfico a sitios web maliciosos o inapropiados.
- Minimizar la cantidad de vulnerabilidades residentes en su red que tienen el potencial de ser explotadas por malware o intenciones maliciosas (ver Controles 8.8 y 8.19).
- Lleve a cabo auditorías de software periódicas que escaneen la red en busca de software, modificaciones del sistema y/o datos no autorizados.
- Asegúrese de que los datos y las aplicaciones se obtengan con un riesgo mínimo, ya sea internamente o como adquisición externa.
- Establezca una política de detección de malware que incluya análisis periódicos y exhaustivos de todos los sistemas y archivos relevantes, en función de los riesgos únicos de cada área a analizar. Las organizaciones deben adoptar un enfoque de "defensa en profundidad" que abarque dispositivos terminales y controles de puerta de enlace, y tenga en cuenta una amplia gama de vectores de ataque (por ejemplo, ransomware).
- Protéjase contra intrusiones que emanan de procedimientos y protocolos de emergencia, especialmente durante un incidente o actividades de mantenimiento de alto riesgo.
- Redacte un proceso que permita al personal técnico desactivar algunos o todos los esfuerzos antimalware, especialmente cuando dichas actividades obstaculizan la capacidad de la organización para hacer negocios.
- Implementar un plan sólido de respaldo y recuperación ante desastres (BUDR) que permita a la organización reanudar la actividad operativa lo más rápido posible, luego de una interrupción (ver Control 8.13). Esto debería incluir procedimientos relacionados con software que no puede ser cubierto por software antimalware (es decir, software de maquinaria).
- Dividir áreas de la red y/o entornos de trabajo digitales y virtuales que puedan causar interrupciones catastróficas en caso de un ataque.
- Brinde a todos los empleados relevantes capacitación sobre concientización sobre malware que eduque a los usuarios sobre una amplia gama de temas, que incluyen (entre otros):
- Ingeniería social
- Seguridad del correo
- Instalación de software malicioso
- Recopile información relacionada con la industria sobre los últimos desarrollos en protección contra malware.
- Asegúrese de que las notificaciones sobre posibles ataques de malware (particularmente de proveedores de software y hardware) provengan de una fuente confiable y sean precisas.
Controles de apoyo
- 8.13
- 8.19
- 8.32
- 8.8
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
ISO 27002:2022-8.7 reemplaza a ISO 27002:2003-12.2.1 (Controles contra malware).
27002:2022-8.7 contiene los mismos puntos de orientación básicos que 27002:2003-12.2.1 y eleva algunas de las directrices complementarias a puntos de orientación generales, de acuerdo con su importancia para los esfuerzos antimalware de una organización, en particular:
- Protección contra malware durante los periodos de mantenimiento.
27002:2003-12.2.1 también pide a las organizaciones que consideren el uso de dos plataformas antimalware independientes, mientras que 27002:2022-8.7 se contenta con una única solución unificada.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
Nuestra plataforma le proporciona paneles personalizables que le brindan visibilidad en tiempo real de su estado de cumplimiento.
Puede monitorear y gestionar todos los aspectos de su proceso de cumplimiento de ISO 27002 desde un solo lugar: gestión de auditorías, análisis de brechas, gestión de capacitación, evaluación de riesgos, etc.
Proporciona una solución integrada y fácil de usar a la que se puede acceder las 24 horas del día, los 7 días de la semana a través de cualquier dispositivo con conexión a Internet. La plataforma permite a todos los empleados trabajar juntos de forma fluida y segura para gestionar los riesgos de seguridad y realizar un seguimiento del cumplimiento de la organización, así como del camino hacia la certificación ISO 27001.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
