Cláusula 27701 de la norma ISO 6.9.2: Fortalecimiento de las estrategias de defensa contra el malware
Incluso dentro de las redes más sólidas y herméticas, pueden ocurrir, y de hecho ocurren, fallas e intrusiones.
Las organizaciones deben asumir que se producirán escenarios críticos en un momento dado y proteger la PII de intrusiones, además de garantizar la continuidad del negocio con procedimientos BUDR versátiles y claramente entendidos.
Qué se cubre en la cláusula 27701 de la norma ISO 6.9.2
La cláusula 27701 de ISO 6.9.2 contiene dos subcláusulas que brindan orientación sobre técnicas antimalware y funciones BUDR.
Ambas cláusulas están vinculadas a información contenida en ISO 27002, con orientación ofrecida dentro del alcance de la PII y la protección de la privacidad:
- ISO 27701 6.9.2.1 Controles contra malware (Referencias ISO 27002 control 8.7)
- ISO 27701 6.9.3.1 Respaldo de información (Referencias ISO 27002 control 8.13)
ISO 27701 6.9.3.1 presenta puntos de orientación que son relevantes para varios artículos contenidos en la legislación GDPR del Reino Unido (con un resumen proporcionado para su conveniencia) y una amplia orientación adicional sobre cómo las organizaciones deben abordar tanto la copia de seguridad como la restauración de PII.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.9.2.1 – Controles contra malware
Referencias ISO 27002 Control 8.7
Para proteger la PII y los activos relacionados con la privacidad, las organizaciones deben implementar una variedad de técnicas y plataformas antimalware, que incluyen:
- Mantener una lista de software y aplicaciones restringidos/prohibidos (ver controles ISO 27002 8.19 y 8.32).
- Usar filtrado de contenido para bloquear el acceso a sitios web sospechosos.
- Implementar medidas de 'gestión técnica de la vulnerabilidad' (ver controles ISO 27002 8.8 y 8.19).
- Auditar periódicamente el uso de software y datos para detectar aplicaciones y sistemas no autorizados o sospechosos.
- Protección contra los riesgos asociados a la obtención de datos y/o aplicaciones de fuentes externas y de terceros.
- Realizar análisis antimalware periódicos que cubran toda la red, incluidos el correo electrónico, los sitios web y los medios extraíbles.
- Considerar en qué parte de la red se deben implementar las herramientas antimalware (por ejemplo, seguridad de la puerta de enlace y promoción de la "defensa en profundidad").
- Monitorear incidentes e intervenciones críticas, para garantizar que no se introduzca accidentalmente malware en la red en momentos en que se eluden las reglas estándar de TIC.
- Operar con procesos que permitan una intervención crítica contra intrusiones sospechosas, como deshabilitar temporalmente procesos críticos del sistema, incluido un procedimiento exhaustivo de justificación y revisión.
- Planes BUDR sólidos y de continuidad del negocio, que incluyen deshabilitar y/o aislar entornos operativos (ver control ISO 27002 8.13).
- Formación de sensibilización para todos los usuarios (ver control ISO 27002 6.3).
- Mantener una presencia activa en la comunidad antimalware y mantenerse al tanto de las últimas tendencias en ciberseguridad, incluidas definiciones de virus, vectores de ataque y acciones correctivas.
- Garantizar que toda la comunicación procesable sobre malware de fuentes externas se verifique de forma independiente y provenga de una fuente confiable.
Controles ISO 27002 relevantes
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.9.3.1 – Copia de seguridad de la información
Referencias ISO 27002 Control 8.13
Las organizaciones deben redactar políticas temáticas específicas que aborden directamente cómo la organización realiza copias de seguridad de las áreas relevantes de su red para salvaguardar la PII y mejorar la resiliencia contra incidentes relacionados con la privacidad.
Los procedimientos BUDR deben redactarse para lograr el objetivo principal de garantizar que todas Los datos, el software y los sistemas críticos para el negocio se pueden recuperar siguiendo De pérdida de datos, intrusión, interrupción del negocio y fallas críticas.
Como prioridad, los planes BUDR deberían:
- Describir los procedimientos de restauración que cubran todos los sistemas y servicios críticos.
- Ser capaz de producir copias viables de cualquier sistema, dato o aplicación que forme parte de un trabajo de respaldo.
- Atender los requisitos comerciales y operativos de la organización (ver control ISO 27002 5.30).
- Almacene las copias de seguridad en una ubicación ambientalmente protegida que esté físicamente separada de los datos de origen (ver control ISO 27002 8.1).
- Pruebe y evalúe periódicamente los trabajos de respaldo con respecto a los tiempos de recuperación exigidos por la organización para garantizar la disponibilidad de los datos.
- Cifre todos los datos de respaldo relacionados con PII.
- Vuelva a verificar si hay pérdida de datos antes de ejecutar una tarea de respaldo.
- Adhiérase a un sistema de informes que alerte al personal sobre el estado de los trabajos de respaldo.
- Buscar incorporar datos de plataformas basadas en la nube que no son administradas directamente por la organización, en trabajos de respaldo internos.
- Almacene copias de seguridad de acuerdo con una política de retención de PII adecuada (ver control ISO 27002 8.10).
Orientación adicional específica de PII
Las organizaciones deben desarrollar procedimientos separados que se ocupen únicamente de la PII (aunque contenidos dentro de su plan BUDR principal).
Se deben tener en cuenta las variaciones regionales en los estándares PII BUDR (contractuales, legales y regulatorios) cada vez que se crea un nuevo trabajo, se modifican trabajos o se agregan nuevos datos PII a la rutina BUDR.
Siempre que surja la necesidad de restaurar la PII después de un incidente BUDR, las organizaciones deben tener mucho cuidado para devolver la PII a su estado original y revisar las actividades de restauración para resolver cualquier problema con los nuevos datos.
Las organizaciones deben mantener un registro de la actividad de restauración, incluido el personal involucrado en la restauración, y una descripción de la PII que se ha restaurado.
Las organizaciones deben consultar con cualquier agencia legislativa o reguladora y asegurarse de que sus procedimientos de restauración de PII estén alineados con lo que se espera de ellos como procesadores y controladores de PII.
Controles ISO 27002 relevantes
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
- Artículo 32 – (1)(c)
Controles compatibles con ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.9.2.1 | Controles contra el malware |
8.7 – Protección contra malware para ISO 27002 |
Ninguna |
| 6.9.3.1 | Copia de seguridad de la información |
8.13 – Respaldo de información para ISO 27002 |
Artículos (5), (32) |
Cómo ayuda ISMS.online
Para lograr la norma ISO 27701, debe crear un sistema de gestión de información de privacidad. Con nuestro PIMS preconfigurado puede organizar y gestionar rápida y fácilmente la información de clientes, proveedores y personal para cumplir plenamente con la norma ISO 27701.
También puede adaptarse al creciente número de regulaciones de privacidad globales, regionales y específicas del sector que apoyamos en la plataforma ISMS.online.
Para lograr la certificación ISO 27701 (privacidad), primero debe obtener la certificación ISO 27001 (seguridad de la información). ¡La buena noticia es que nuestra plataforma puede ayudarte a hacer ambas cosas sin esfuerzo!
Descubre más por reservar una demostración.
