Comprensión de los requisitos de la cláusula 27701 de la norma ISO 6.11.2
Las actividades de desarrollo repartidas en múltiples entornos distintos representan una importancia importante para las organizaciones que manejan diferentes categorías de datos y poseen la necesidad de mover datos entre entornos de prueba, desarrollo y producción.
En cada etapa del proceso de desarrollo, es necesario salvaguardar la PII y los activos relacionados con la privacidad y brindarles el mismo nivel de protección independientemente del entorno en el que se encuentren.
Qué se cubre en la cláusula 27701 de la norma ISO 6.11.2
ISO 27701 6.11.2 es un control de amplio alcance que abarca múltiples aspectos de las operaciones de desarrollo y prueba.
ISO 27701 6.11.2 contiene no menos de 9 subcláusulas separadas, cada una de las cuales contiene información de ISO 27002, que trata aspectos de seguridad del desarrollo, presentados en el ámbito de la gestión de la información de privacidad y la seguridad de la PII:
- ISO 27701 6.11.2.1 – Política de desarrollo seguro (ISO 27002 Control 8.25)
- ISO 27701 6.11.2.2 – Procedimientos de control de cambios del sistema (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.3 – Revisión técnica de aplicaciones después de cambios de plataforma operativa (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.4 – Restricciones de cambios en paquetes de software (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.5 – Principios de ingeniería de sistemas seguros (ISO 27002 Control 8.27)
- ISO 27701 6.11.2.6 – Entorno de desarrollo seguro (ISO 27002 Control 8.31)
- ISO 27701 6.11.2.7 – Desarrollo subcontratado (ISO 27002 Control 8.30)
- ISO 27701 6.11.2.8 – Pruebas de seguridad del sistema (ISO 27002 Control 8.29)
- ISO 27701 6.11.2.9 – Pruebas de aceptación del sistema (ISO 27002 Control 8.29)
Dos subcláusulas (6.11.2.1 y 6.11.2.6) contienen orientación que es relevante para los elementos del Reino Unido. GDPR legislación: hemos proporcionado los artículos a continuación, para su conveniencia.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.11.2.1 – Política de desarrollo seguro
Referencias ISO 27002 Control 8.25
Las organizaciones deben garantizar que el ciclo de vida del desarrollo se cree teniendo en cuenta la protección de la privacidad.
Para lograr esto, las organizaciones deberían:
- Operar con entornos de desarrollo, pruebas y desarrollo separados (ver Control ISO 27002 8.31).
- Publicar orientación sobre la protección de la privacidad durante todo el ciclo de vida del desarrollo, incluidas metodologías, pautas de codificación y lenguajes de programación (ver Controles ISO 27002 8.28, 8.27 y 5.8).
- Describir los requisitos de seguridad en la fase de especificación y diseño (ver Control 27002 de ISO 5.8).
- Implementar puntos de control de seguridad en todos los proyectos relevantes (ver Control ISO 27002 5.8).
- Realizar pruebas de seguridad y sistemas, incluidos escaneos de códigos y pruebas de penetración (consulte Control ISO 27002 5.8).
- Ofrezca repositorios seguros para todo el código fuente (consulte los controles ISO 27002 8.4 y 8.9).
- Ejerza procedimientos estrictos de control de versiones (consulte Control ISO 27002 8.32).
- Ofrecer protección de la privacidad del personal y capacitación en seguridad de aplicaciones (consulte Control ISO 27002 8.28).
- Analizar la capacidad de los desarrolladores para localizar, mitigar y erradicar vulnerabilidades (ver Control ISO 27002 8.28).
- Documente cualquier requisito de licencia vigente o futuro (consulte Control ISO 27002 8.30).
Artículos aplicables del RGPD
- Artículo 25 – (1)
Controles ISO 27002 relevantes
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ISO 27701 Cláusula 6.11.2.2 – Procedimientos de control de cambios del sistema
Referencias ISO 27002 Control 8.32
Se deben implementar procedimientos sólidos de gestión de cambios que garanticen la confidencialidad, integridad y disponibilidad de la PII y de la información relacionada con la privacidad, tanto dentro de las instalaciones de procesamiento de información de privacidad como en los sistemas de información de privacidad.
Los procesos y procedimientos de control de cambios organizacionales deben incluir:
- Evaluaciones de impacto exhaustivas.
- Cómo se autorizan los cambios.
- Cómo se comunican los cambios a todas las partes relevantes.
- Pruebas de aceptación (ver Control ISO 27002 8.29).
- Cambie los planes de implementación.
- Planificación de contingencias.
- Un registro exhaustivo de toda la actividad relacionada con el cambio.
- Actualizaciones de toda la documentación operativa y de usuario de respaldo, planes de continuidad y procedimientos BUDR (ver Controles ISO 27002 5.37 y 5.20).
Controles ISO 27002 relevantes
- ISO 27002 5.20
- ISO 27002 5.37
- ISO 27002 8.29
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.11.2.3 – Revisión técnica de aplicaciones después de cambios en la plataforma operativa
Referencias ISO 27002 Control 8.32
Ver ISO 27701 Cláusula 6.11.2.2
ISO 27701 Cláusula 6.11.2.4 – Restricciones de cambios en paquetes de software
Referencias ISO 27002 Control 8.32
Ver ISO 27701 Cláusula 6.11.2.2
ISO 27701 Cláusula 6.11.2.5 – Principios de ingeniería de sistemas seguros
Referencias ISO 27002 Control 8.27
El sistema organizacional debe diseñarse, documentarse, implementarse y mantenerse teniendo en cuenta la protección de la privacidad.
Los principios de ingeniería deben analizar:
- Una amplia gama de controles de seguridad necesarios para proteger la PII contra amenazas específicas y generalizadas.
- Qué tan bien equipados están los controles de seguridad para hacer frente a eventos importantes de seguridad.
- Controles específicos que son distintos de los procesos comerciales individuales.
- ¿Donde en la red y cómo Se deben implementar controles de seguridad.
- Cómo funcionan varios controles en armonía entre sí.
Los principios de ingeniería deben tener en cuenta:
- Integración arquitectónica.
- Medidas técnicas de seguridad (cifrado, IAM, DAM, etc.).
- Qué tan bien equipada está la organización para implementar y mantener la solución elegida.
- Directrices de mejores prácticas de la industria.
La ingeniería de sistemas seguros debe abarcar:
- Principios arquitectónicos estándar de la industria bien establecidos.
- Una revisión de diseño de amplio alcance que identifica vulnerabilidades y ayuda a formar un enfoque de cumplimiento de extremo a extremo.
- Divulgación completa de cualquier control de seguridad que no cumpla con los requisitos esperados.
- Endurecimiento del sistema.
Las organizaciones deberían adoptar un enfoque de seguridad de "confianza cero" mediante:
- No depender de la seguridad de la puerta de enlace de forma aislada.
- Buscando continuamente la verificación en todos los sistemas.
- Hacer cumplir el cifrado de extremo a extremo en todos los sistemas relevantes.
- Categorizar cada solicitud de información o acceso como si se hubiera originado fuera de la organización, desde una fuente no confiable.
- Operar según los principios de "privilegio mínimo" y utilizar técnicas de control de acceso dinámico (ver Controles ISO 27002 5.15, 5.18 y 8.2).
- Siempre aplicando controles de autenticación sólidos, incluido MFA (consulte Control ISO 27002 8.5).
Cuando la organización subcontrata el desarrollo a organizaciones de terceros, se deben hacer esfuerzos para garantizar que los principios de seguridad del socio estén alineados con los propios de la organización.
Artículos aplicables del RGPD
- Artículo 25 – (1)
Controles ISO 27002 relevantes
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 Cláusula 6.11.2.6 – Entorno de desarrollo seguro
Referencias ISO 27002 Control 8.31
Para salvaguardar la PII y los activos relacionados con la privacidad, las organizaciones deben garantizar que Desarrollo, las pruebas y Production Los ambientes están segregados y asegurados.
Para lograr esto, las organizaciones deberían:
- Segregar diferentes entornos en dominios separados.
- Cree procesos que gobiernen cómo se traslada el software del desarrollo a la producción.
- Utilice entornos de prueba y preparación (consulte ISO 27002 Control 8.29).
- Prevenir pruebas en entornos de producción.
- Opere controles estrictos sobre el uso de aplicaciones de servicios públicos en entornos en vivo.
- Etiquete claramente cada entorno en varios sistemas, activos y aplicaciones.
- Evite la copia de datos confidenciales (especialmente PII) del entorno real a otros entornos, sin el uso de controles adecuados para salvaguardar su integridad y disponibilidad.
Protección de entornos de desarrollo y pruebas
Para salvaguardar los datos en entornos de desarrollo y prueba, las organizaciones deben:
- Opere con una política de parches de amplio alcance.
- Asegúrese de que todos los sistemas y aplicaciones estén configurados de forma segura según las pautas de mejores prácticas.
- Gestione de cerca el acceso a los entornos de desarrollo y prueba.
- Asegúrese de que se monitoree cualquier cambio en dichos entornos.
- Implemente un amplio conjunto de protocolos BUDR.
- Asegúrese de que ningún empleado pueda realizar cambios en los entornos de desarrollo y producción sin una revisión de la dirección y un proceso de aprobación exhaustivo.
ISO deja explícitamente claro que el personal de desarrollo y pruebas plantea un riesgo desproporcionado para la PII, ya sea directamente debido a acciones maliciosas o inadvertidamente debido a errores en el proceso de desarrollo.
Es de vital importancia que ningún empleado tenga la capacidad de realizar modificaciones dentro y fuera de los entornos de desarrollo y producción sin la autorización adecuada, incluida una revisión de los cambios requeridos y una aprobación de varios pasos (consulte ISO 27002 Control 8.33).
Las organizaciones deben tener mucho cuidado para garantizar la integridad y disponibilidad de la PII durante todo el proceso de desarrollo y prueba, incluidos múltiples entornos de producción en vivo, entornos de capacitación y segregación de funciones.
Controles ISO 27002 relevantes
- ISO 27002 8.29
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.11.2.7 – Desarrollo subcontratado
Referencias ISO 27002 Control 8.30
Si surge la necesidad de subcontratar el desarrollo, las organizaciones deben asegurarse de que las prácticas de seguridad de terceros estén alineadas con las suyas propias.
Las organizaciones deben comunicar claramente sus requisitos desde el principio y evaluar continuamente la capacidad del socio de desarrollo para hacer lo que se espera de él.
Las organizaciones deberían considerar:
- Licencias, propiedad y derechos de propiedad intelectual (ver Control ISO 27002 5.32).
- Puntos contractuales que tratan design, codificación y las pruebas (ver Controles ISO 27002 8.25 y 8.29).
- Proporcionar a terceros un modelo de amenazas actualizado.
- Requisitos de prueba, tanto en el momento de la entrega como en curso: pruebas de aceptación, pruebas de vulnerabilidad, pruebas internas de malware e informes de garantía de seguridad (consulte ISO 27002 Control 8.29).
- Salvaguardas del código fuente, como un servicio de depósito en garantía que protege contra la pérdida de negocios por parte del desarrollador.
- Derecho de la organización a auditar cualquier proceso de desarrollo.
- Una lista de requisitos de seguridad para el entorno de desarrollo (consulte ISO 27002 Control 8.31);
- Y obligaciones legislativas, reglamentarias o contractuales preexistentes.
Controles ISO 27002 relevantes
- ISO 27002 5.32
- ISO 27002 8.25
- ISO 27002 8.29
- ISO 27002 8.31
ISO 27701 Cláusula 6.11.2.8 – Pruebas de seguridad del sistema
Referencias ISO 27002 Control 8.29
Las organizaciones deben garantizar que, cuando se implementa y/o se mueve código de cualquier manera desde un entorno de desarrollo al entorno real, la protección de la privacidad se trata como una prioridad y la PII se protege contra cualquier pérdida de integridad o disponibilidad.
Las pruebas deben incluir:
- Funciones de seguridad de red estandarizadas (por ejemplo, inicio de sesión de usuario, cifrado) (ver Controles ISO 27002 8.5, 8.3 y 8.24).
- Codificación segura.
- Configuraciones seguras en todos los dispositivos de red y componentes de seguridad (consulte Controles ISO 27002 8.9, 8.20 y 8.22).
Planes de prueba
Todos los planes de prueba deben ser directamente proporcionales al sistema que están probando y a la escala del cambio o conjunto de datos al que se dirigen.
Los planes de prueba deben incluir una variedad de herramientas de automatización y estar compuestos por:
- Un calendario de pruebas completo.
- Resultados esperados en una variedad de condiciones.
- Criterios de prueba, con fines de evaluación.
- Acciones de seguimiento, basadas en resultados esperados o anómalos.
Las pruebas de desarrollo internas siempre deben ser verificadas por un especialista externo. Tales pruebas deberían incluir:
- Identificación de fallos de seguridad (revisiones de código, etc.).
- Escaneo de vulnerabilidades.
- Pruebas de penetración estructuradas.
ISO recomienda que todas las pruebas se lleven a cabo en un entorno que refleje el entorno de producción en tantas formas como sea posible, para garantizar una serie precisa y práctica de resultados con los que medir el rendimiento (consulte ISO 27002 Control 8.31).
Controles ISO 27002 relevantes
- ISO 27002 8.3
- ISO 27002 8.5
- ISO 27002 8.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.24
- ISO 27002 8.31
ISO 27701 Cláusula 6.11.2.9 – Pruebas de aceptación del sistema
Referencias ISO 27002 Control 8.29
Ver ISO 27701 Cláusula 6.11.2.8
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.11.2.1 | Política de desarrollo seguro | 8.25 – Ciclo de vida de desarrollo seguro para ISO 27002 | Artículo (25) |
| 6.11.2.2 | Procedimientos de control de cambios del sistema | 8.32 – Gestión de cambios para ISO 27002 | Ninguna |
| 6.11.2.3 | Revisión técnica de aplicaciones después de cambios en la plataforma operativa | 8.32 – Gestión de cambios para ISO 27002 | Ninguna |
| 6.11.2.4 | Restricciones de cambios en paquetes de software | 8.32 – Gestión de cambios para ISO 27002 | Ninguna |
| 6.11.2.5 | Principios de ingeniería de sistemas seguros | 8.27 – Principios de ingeniería y arquitectura de sistemas seguros para ISO 27002 | Artículo (25) |
| 6.11.2.6 | Entorno de desarrollo seguro | 8.31 – Separación de los entornos de desarrollo, prueba y producción para ISO 27002 | Ninguna |
| 6.11.2.7 | Desarrollo subcontratado | 8.30 – Desarrollo subcontratado para ISO 27002 | Ninguna |
| 6.11.2.8 | Pruebas de seguridad del sistema | 8.29 – Pruebas de seguridad en desarrollo y aceptación de ISO 27002 | Ninguna |
| 6.11.2.9 | Pruebas de aceptación del sistema | 8.29 – Pruebas de seguridad en desarrollo y aceptación de ISO 27002 | Ninguna |
Cómo ayuda ISMS.online
Para lograr la norma ISO 27701, debe crear un sistema de gestión de información de privacidad (PIMS). Con nuestro PIMS preconfigurado puede organizar y gestionar rápida y fácilmente la información de clientes, proveedores y personal para cumplir plenamente con la norma ISO 27701.
También puede adaptarse al creciente número de regulaciones de privacidad globales, regionales y específicas del sector que apoyamos en la plataforma ISMS.online.
Para lograr la certificación ISO 27701 (privacidad), primero debe obtener la certificación ISO 27001 (seguridad de la información). La buena noticia es que nuestra plataforma puede ayudarte a hacer ambas cosas.
Más información por reservar una demostración práctica.
