Comprensión de la cláusula 6.9.6: Gestión de vulnerabilidades técnicas
Las vulnerabilidades técnicas que tienen el potencial de afectar la PII y los activos relacionados con la privacidad son casi imposibles de erradicar por completo, independientemente del presupuesto, los niveles de personal o la experiencia.
Como tal, ISO requiere que las organizaciones operen con un conjunto sólido de controles de gestión de vulnerabilidades que identifiquen posibles vulnerabilidades técnicas y brinden una guía clara sobre las acciones correctivas necesarias para mitigar cualquier daño comercial, operativo o de reputación.
Qué se cubre en la cláusula 27701 de la norma ISO 6.9.6
ISO 27001 6.9.6 contiene dos subcláusulas que tratan el tema de la gestión de vulnerabilidades, dividida entre la gestión técnica y cómo las organizaciones deben considerar las instalaciones de software:
- ISO 27701 6.9.6.1 – Gestión de vulnerabilidades técnicas (ISO 27002 Controlar 8.8)
- ISO 27701 6.9.6.2 – Restricción en la instalación de software (ISO 27002 Control 8.19)
Ninguna subcláusula contiene ninguna guía específica de PIMS o PII, ni tampoco existen directrices del Reino Unido. GDPR implicaciones a considerar.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.9.6.1 – Gestión de vulnerabilidades técnicas
Referencias ISO 27002 Control 8.8
Las organizaciones deben obtener una lista actualizada de todos los activos (ver Controles 5.9 y 5.14) que son propiedad de la organización y están operados por ella, incluyendo:
- Nombre del vendedor.
- Nombre de la aplicación.
- Números de versión.
- Dónde se implementa el software.
- Quién es el responsable del funcionamiento de dicho software.
Al identificar vulnerabilidades que tienen el potencial de afectar la PII y la protección de la privacidad, las organizaciones deben:
- Describa el personal responsable de la gestión de vulnerabilidades, incluido:
- Gestión de activos.
- Evaluación de riesgos.
- Seguimiento.
- Actualizando.
- Mantener un inventario actualizado de aplicaciones y recursos que se utilizarán para identificar vulnerabilidades técnicas.
- Póngase en contacto con proveedores y vendedores y pídales que indiquen claramente las vulnerabilidades cada vez que se suministren nuevos sistemas y hardware (consulte ISO 27002 Control 5.20).
- Utilice herramientas de escaneo de vulnerabilidades y funciones de parcheo.
- Realizar pruebas de penetración periódicas.
- Analice bibliotecas de códigos de terceros y/o código fuente en busca de vulnerabilidades y/o exploits subyacentes (consulte ISO 27002 Control 8.28).
Actividades Públicas
Las organizaciones deben desarrollar políticas y procedimientos (incluidas actualizaciones automáticas) que detecten vulnerabilidades en todos sus productos y servicios, y recibir evaluaciones de vulnerabilidad relacionadas con el suministro de dichos productos y servicios.
ISO aconseja a las organizaciones que hagan un esfuerzo público para rastrear cualquier vulnerabilidad (incluido el uso de programas de recompensas estructurados) y que utilicen foros y actividades de investigación pública para crear conciencia sobre posibles vulnerabilidades y problemas de seguridad.
Si después de un incidente de seguridad se han tomado medidas correctivas que podrían afectar de alguna manera a los clientes (o su percepción de los datos almacenados), las organizaciones deberían considerar contratar a especialistas en seguridad certificados para distribuir información sobre los vectores de ataque.
Evaluación de vulnerabilidades
Durante todo el proceso de evaluación de vulnerabilidades, las organizaciones deben:
- Analice los informes y decida qué medidas deben tomarse, incluidas las actualizaciones o la eliminación de los sistemas y/o hardware afectados.
- Acordar una resolución que tenga en cuenta otros controles ISO.
Contrarrestar las vulnerabilidades del software
Al abordar las vulnerabilidades una vez identificadas, las organizaciones deberían:
- Resolver todas las vulnerabilidades de manera oportuna y eficiente.
- Adherirse a los procedimientos organizacionales sobre gestión de cambios (ver ISO 27002 Control 8.32) y respuesta a incidentes (ver ISO 27002 Control 5.26), para garantizar un enfoque uniforme.
- Limite las actualizaciones y parches a los de fuentes confiables.
- Pruebe las actualizaciones antes de la implementación.
- Identifique los sistemas críticos y de alto riesgo para el negocio como prioridad al planificar acciones correctivas.
Si no se realiza una actualización y factores externos impiden tomar medidas correctivas, las organizaciones deben:
- Consulte con los proveedores sobre soluciones alternativas.
- Deshabilite cualquiera o todos los servicios de red afectados.
- Implemente controles de seguridad de la red, incluidas reglas de tráfico y filtrado de contenidos.
- Incrementar la frecuencia y duración de los esfuerzos de monitoreo en los sistemas afectados.
- Distribuya información sobre la vulnerabilidad y asegúrese de que todas las partes afectadas estén informadas, incluidos proveedores y clientes.
Controles ISO 27002 relevantes
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Orientación complementaria
Se debe mantener un registro de auditoría de todas las actividades relevantes de gestión de vulnerabilidades, y el proceso de gestión de vulnerabilidades de la organización debe revisarse para garantizar que sea adecuado para su propósito y satisfaga las crecientes necesidades de la organización.
En lo que respecta al software basado en la nube, la organización debe asegurarse de que la postura del proveedor de servicios hacia la gestión de vulnerabilidades esté alineada con la suya. Las organizaciones deben buscar obtener confirmación por escrito de cualquier responsabilidad a través de un acuerdo de servicio vinculante (consulte ISO 27002 Control 5.32).
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.9.6.2 – Restricción en la instalación de software
Referencias ISO 27002 Control 8.19
Para proteger la disponibilidad e integridad de la PII y administrar el cambio, las organizaciones deben:
- Asegúrese de que las actualizaciones de software sean realizadas por personal competente (consulte Control Control 8.5).
- Asegúrese de que el código haya salido de forma segura de la etapa de desarrollo y esté libre de errores.
- Pruebe todo el software antes de actualizarlo o instalarlo para asegurarse de que no se produzcan conflictos ni errores.
- Mantener un sistema de biblioteca de software actualizado.
- Mantener un 'sistema de control de configuración' para administrar el software operativo.
- Redactar una "estrategia de reversión" que restaure los sistemas a un estado que funcionaba anteriormente, para garantizar la continuidad del negocio.
- Mantenga un registro completo de cualquier actualización realizada.
- Asegúrese de que las aplicaciones de software no utilizadas (y todo el material asociado) se almacenen de forma segura para su posterior uso y análisis.
- Operar con una política de restricción de software, que se ejecute de acuerdo con las diversas funciones y responsabilidades de la organización.
Cuando se utiliza software proporcionado por el proveedor, las aplicaciones deben mantenerse en buen estado de funcionamiento y de acuerdo con las pautas del emisor.
ISO deja explícitamente claro que las organizaciones deben evitar el uso de software no compatible a menos que sea absolutamente necesario. Las organizaciones deben buscar actualizar los sistemas existentes, en lugar de utilizar aplicaciones heredadas obsoletas o sin soporte.
Un proveedor puede requerir acceso a la red de una organización para realizar una instalación o actualización. Dichas actividades deben estar autorizadas y monitoreadas en todo momento (ver Control ISO 27002 5.22).
Orientación complementaria
- Las organizaciones deben actualizar, parchear e instalar software de acuerdo con sus procedimientos de gestión de cambios publicados.
- Los parches que erradican las vulnerabilidades de seguridad o mejoran la protección de la privacidad de la organización siempre deben considerarse como un cambio prioritario.
- Las organizaciones deben tener mucho cuidado al utilizar software de código abierto y deben identificar la última versión disponible públicamente para garantizar que se cumplan al máximo los requisitos de seguridad.
Controles ISO 27002 relevantes
- ISO 27002 5.22
- ISO 27002 8.5
Controles compatibles con ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.9.6.1 | Gestión de Vulnerabilidades Técnicas |
8.8 – Gestión de Vulnerabilidades Técnicas para ISO 27002 | Nona |
| 6.9.6.2 | Restricción en la instalación de software |
8.19 – Instalación de Software en Sistemas Operativos para ISO 27002 | Nona |
Cómo ayuda ISMS.online
Con la plataforma ISMS.online, puede integrar un PIMS para garantizar que su postura de seguridad sea todo en un solo lugar y evite la duplicación cuando los estándares se superponen.
Nunca ha sido tan fácil monitorear, informar y auditar según ISO 27001 e ISO 27701 con su PIMS accesible instantáneamente para las partes interesadas.
Averiguar cuánto Tiempo y dinero ahorrarás en tu viaje. a una certificación combinada ISO 27001 y 27701 utilizando ISMS.online.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
