Cláusula 27701 de la norma ISO 6.9.4: Fortalecimiento de la privacidad mediante el registro y la supervisión
El registro y la supervisión son una parte crucial de la operación de protección de la privacidad de una organización, que permite al personal detectar y analizar actividades maliciosas en una red y recopilar un conjunto de datos que sirve para reforzar futuras iniciativas de seguridad.
Qué se cubre en la cláusula 27701 de la norma ISO 6.9.4
ISO 27701 6.9.4 contiene tres subcláusulas, que presentan Guía de seguridad de la información de ISO 27002. en el contexto de la protección de la privacidad:
- ISO 27701 – 6.9.4.1 Registro de eventos (Referencias ISO 27002 control 8.15)
- ISO 27701 – 6.9.4.2 Protección de la información de registro (Referencias ISO 27002 control 8.15)
- ISO 27701 – 6.9.4.4 Sincronización de reloj (Referencias ISO 27002 control 8.17)
Las subcláusulas 6.9.4.1 y 6.9.4.2 contienen orientación adicional extensa sobre la gestión del registro y el monitoreo junto con las actividades relacionadas con la PII. Varias cláusulas también contienen información que es aplicable dentro de la legislación GDPR del Reino Unido, y los artículos relevantes se proporcionan a continuación.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.9.4.1 – Registro de eventos
Referencias ISO 27002 Control 8.15
ISO define un 'evento' como cualquier acción realizada por una presencia/entidad digital o física en un sistema informático.
Los registros de eventos deben contener:
- Una identificación de usuario: quién o qué cuenta realizó las acciones.
- Un registro de la actividad del sistema.
- Marcas de tiempo.
- Identificadores de dispositivo y sistema, y la ubicación del evento.
- información de la dirección IP.
Tipos de eventos
ISO identifica 11 eventos/componentes que requieren registro (y vinculados a la misma fuente de tiempo; consulte el control 27002 de ISO 8.17), para mantener la seguridad de la PII y mejorar la protección de la privacidad de la organización:
- Intentos de acceso al sistema.
- Intentos de acceso a datos.
- Intentos de acceso a recursos.
- Cambios en la configuración del sistema operativo.
- Privilegios elevados.
- Programas de utilidades e instalaciones de mantenimiento (ver control 27002 de ISO 8.18).
- Solicitudes de acceso a archivos y qué ocurrió (eliminación, migración, etc.).
- Interrupciones críticas.
- Actividades relacionadas con los sistemas de seguridad/antimalware.
- Trabajo de administración de identidades (por ejemplo, altas y bajas de usuarios).
- Actividades de sesión de aplicación seleccionadas.
Protección de registros
Los registros deben protegerse contra cambios no autorizados o anomalías operativas, que incluyen:
- Modificaciones del tipo de mensaje.
- Eliminación o edición.
- Sobrescritura debido a problemas de almacenamiento.
Las organizaciones deben utilizar las siguientes técnicas para mejorar la seguridad basada en registros:
- Hashing criptográfico.
- Grabación de solo agregar.
- Grabación de sólo lectura.
- Utilización de ficheros públicos de transparencia.
Cuando surge la necesidad de proporcionar registros a organizaciones externas, se deben tomar medidas estrictas para salvaguardar la PII y la información relacionada con la privacidad, de acuerdo con los estándares de privacidad de datos aceptados (consulte el control 27002 de ISO 5.34 y la guía adicional a continuación).
Análisis de registros
Los registros deberán analizarse de vez en cuando para mejorar la protección de la privacidad en general y para resolver y prevenir violaciones de seguridad.
Al realizar análisis de registros, las organizaciones deben tener en cuenta:
- La experiencia del personal que realiza el análisis.
- La sección tipo, categoría y atributo de cada tipo de evento.
- Cualquier excepción que se aplique a través de reglas de red que surjan de plataformas y hardware de software de seguridad.
- Tráfico de red anómalo.
- Análisis de datos especializados.
- Inteligencia sobre amenazas disponible (ya sea internamente o de una fuente externa confiable).
Supervisión de registros
El monitoreo de registros ofrece a las organizaciones la oportunidad de proteger la PII en origen y fomentar un enfoque proactivo para la protección de la privacidad.
Las organizaciones deberían:
- Revisar los intentos internos y externos de acceder a recursos seguros.
- Analice los registros de DNS (e informes de uso de datos) para identificar el tráfico hacia y desde fuentes maliciosas.
- Recopile registros de puntos de acceso físicos y dispositivos de seguridad del perímetro físico (sistemas de entrada, etc.).
Orientación adicional relacionada con la PII
ISO exige que las organizaciones supervisen los registros relacionados con la PII a través de un 'proceso de alerta y monitoreo continuo y automatizado'. Esto puede requerir un conjunto separado de procedimientos que monitoreen el acceso a la PII.
Las organizaciones deben garantizar que, como prioridad, los registros proporcionen una descripción clara del acceso a la PII, incluyendo:
- Quién accedió a los datos.
- Cuando se accedió a los datos.
- A qué PII del director se accedió.
- Cualquier cambio que se haya realizado.
Las organizaciones deberían decidir 'si, cuando y como' La información de registro de PII debe ponerse a disposición de los clientes, todos los criterios deben estar disponibles gratuitamente para los propios directores y se debe tener mucho cuidado para garantizar que los directores de PII solo puedan acceder a la información que les pertenece.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
Controles ISO 27002 relevantes
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.9.4.2 – Protección de la información de registro
Referencias ISO 27002 Control 8.15
Ver ISO 27701 Cláusula 6.9.4.1
Orientación adicional relacionada con la PII
Las organizaciones deben dedicar mucha atención a garantizar que los registros que contienen PII estén controlados adecuadamente y se beneficien de un monitoreo seguro.
Se deben implementar procedimientos automatizados que eliminen o "desidentifiquen" los registros, de acuerdo con una política de retención publicada (consulte el control ISO 27002 7.4.7).
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
ISO 27701 Cláusula 6.9.4.3 – Registros de administrador y operador
Referencias ISO 27002 Control 8.15
Ver ISO 27701 Cláusula 6.9.4.1
ISO 27701 Cláusula 6.9.4.4 – Sincronización del reloj
Referencias ISO 27002 Control 8.17
ISO requiere que las organizaciones establezcan un tiempo de referencia estándar que se puede utilizar en todos los sistemas de protección de la privacidad.
Las organizaciones deberían:
- Considere sus requisitos para tres aspectos de la sincronización del reloj: representación del tiempo, sincronización confiable y precisión.
- Atender sus necesidades en el ámbito de sus obligaciones legales, estatutarias, reglamentarias, contractuales y de seguimiento.
- Utilice un servicio de reloj atómico como punto de referencia singular.
- Utilice dos fuentes de tiempo independientes para mejorar la redundancia y reforzar la resiliencia durante incidentes críticos.
- Considere las implicaciones del uso de fuentes de tiempo que emanan de diferentes plataformas y proveedores (por ejemplo, servicios de dominio locales frente a proveedores de servicios en la nube de terceros).
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.9.4.1 | El registro de eventos |
8.15 – Registro para ISO 27002 |
Artículo (5) |
| 6.9.4.2 | Protección de la información de registro |
8.15 – Registro para ISO 27002 |
Artículo (5) |
| 6.9.4.3 | Registros de administrador y operador |
8.15 – Registro para ISO 27002 |
Ninguna |
| 6.9.4.4 | Sincronización de reloj |
8.17 – Sincronización de reloj para ISO 27002 |
Ninguna |
Cómo ayuda ISMS.online
Construir su propio sistema PIMS tiende a ser una mejor manera de crear un sistema que se ajuste a sus procesos comerciales.
Un sistema personalizado puede ahorrarle dinero y probablemente será más fácil de usar, configurar y adaptar a sus procesadores y controladores de datos.
Algunas organizaciones consideran que la idea de construir su propio sistema es desalentadora y una tarea que las lleva a buscar sistemas listos para usar.
Cualquiera que sea el camino que elija seguir para su organización, nuestras soluciones basadas en la nube en ISMS.online le ayudarán a garantizar que conserva la documentación necesaria para cumplir con el estándar.
Descubre más por reservar una demostración.
