Comprensión de la cláusula 6.9: Seguridad de las operaciones en la norma ISO 27701
El funcionamiento diario de una red de TIC contiene numerosos obstáculos que pueden afectar la capacidad de una organización para cumplir con sus obligaciones legislativas, reglamentarias y contractuales.
La seguridad de las operaciones es un tema de amplio alcance que trata una variedad de asuntos relacionados con la disponibilidad e integridad de la PII y la información relacionada con la privacidad, en todas las operaciones de una organización.
Qué se cubre en la cláusula 27701 de la norma ISO 6.9
La cláusula 27701 de ISO 6.9 contiene 4 subcláusulas, cada una de las cuales corresponde con una subcláusula contigua en ISO 27002:
- ISO 27701 6.9.1.1 – Documentar los procedimientos operativos (ISO 27002 Control 5.37)
- ISO 27701 6.9.1.2 – Gestión de cambios (ISO 27002 Control 8.32)
- ISO 27701 6.9.1.3 – Gestión de capacidad (ISO 27002 Control 8.6)
- ISO 27701 6.9.1.4 – Separación de los entornos de desarrollo, pruebas y operativos (ISO 27002 Control 8.31)
ISO no proporciona orientación adicional para PIMS o actividades relacionadas con PII, ni tampoco existen directrices en el Reino Unido. GDPR consideraciones a tener en cuenta.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.9.1.1 – Documentación de procedimientos operativos
Referencias ISO 27002 Control 5.37
Las organizaciones deben documentar minuciosamente los procedimientos asociados con la protección de la privacidad, incluyendo:
- Actividades que deben ser realizadas varias veces por el mismo personal.
- Actividades que normalmente no se realizan y cuándo probablemente surgirá la próxima instancia.
- Nuevas actividades.
- Pasar la responsabilidad a otro personal.
Los procesos y procedimientos deben especificar claramente:
- Personas responsables de la realización de la actividad.
- Cómo se deben implementar los sistemas.
- Cómo se debe almacenar y manejar la PII y la información relacionada.
- Planes de respaldos y resiliencia empresarial (ver Control ISO 27002 8.13).
- Cualquier requisito de programación.
- Instrucciones claras que describen cómo el personal debe manejar las condiciones especiales que surgen durante el proceso de protección de la PII y los activos relacionados con la privacidad, incluidos los programas de utilidad (consulte ISO 27002 Control 8.18).
- Cómo implementar y administrar medios de almacenamiento (ver Controles ISO 27002 7.10 y 7.14).
- Procedimientos de recuperación del sistema.
- Cómo el personal debe gestionar los registros de auditoría, los registros de eventos y sistemas, y otros sistemas de monitoreo asociados (ver Controles ISO 27002 8.15, 8.17 y 7.4).
- Monitoreo de capacidad, desempeño y seguridad (ver Controles ISO 27002 8.6 y 8.16).
Las organizaciones deben garantizar que las políticas y procedimientos se revisen a intervalos adecuados y se actualicen cuando cambien las necesidades operativas.
Siempre que sea posible, ISO recomienda que los sistemas se mantengan utilizando el mismo conjunto de controles y aplicaciones administrativos.
Controles ISO 27002 relevantes
- ISO 27002 7.4
- ISO 27002 7.10
- ISO 27002 7.14
- ISO 27002 8.6
- ISO 27002 8.13
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.17
- ISO 27002 8.18
ISO 27701 Cláusula 6.9.1.2 – Gestión de cambios
Referencias ISO 27002 Control 8.32
Siempre que se introduce un nuevo sistema, o se planean cambios importantes en los sistemas existentes, las organizaciones deben adherirse a un sistema estructurado que cubra:
- Documentación.
- La especificación.
- Pruebas.
- Control de calidad.
- Implementación gestionada.
Los procedimientos de cambio deben incluir:
- Un análisis del impacto de cualquier cambio propuesto.
- Procedimientos de autorización.
- Difusión de los cambios a todas las partes interesadas.
- Pruebas, incluidos criterios de aceptación rígidos.
- Cómo se realizan los cambios durante las fases de implementación.
- Planes de contingencia que cubran cualquier incidencia relacionada con el cambio durante la implementación.
- Cómo mantener registros adecuados de toda la actividad relacionada con el cambio.
- Actualización de todos los documentos operativos e instrucciones de usuario relevantes (consulte ISO 27002 Control 5.37).
ISO aboga por las pruebas y cualquier actividad relacionada con cambios en un entorno que esté lógicamente (y potencialmente físicamente) separado del entorno operativo en el que los cambios afectarán) (consulte ISO 27002 Control 8.31).
Controles ISO 27002 relevantes
- ISO 27002 5.37
- ISO 27002 8.31
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.9.1.3 – Gestión de capacidad
Referencias ISO 27002 Control 8.6
Las organizaciones deben asegurarse de tener suficiente capacidad operativa para llevar a cabo las funciones comerciales diarias, de modo que la PII o el material relacionado con la privacidad no se vean comprometidos.
Las organizaciones deberían:
- Considere la continuidad del negocio y la protección de la privacidad como una prioridad máxima al implementar controles de gestión de capacidad, incluidos controles de detección que resaltan problemas potenciales antes de que ocurran.
- Basar su operación de gestión de capacidad en las funciones proactivas de ajuste y monitoreo.
- Realice pruebas de estrés periódicas que examinen la capacidad de los sistemas para satisfacer las necesidades comerciales generales y las regulaciones, leyes y pautas de protección de la privacidad.
- Incluir planes de expansión comercial y técnica (tanto desde una perspectiva física como digital) de la operación.
- Considere distintos tiempos de entrega y costos, según el sistema o la función comercial en cuestión. Se debe prestar más atención a los recursos relacionados con la privacidad, dado su elevado perfil de riesgo.
- Documente y observe puntos únicos de falla relacionados con la dependencia de personal clave, recursos individuales y PII.
- Redactar e implementar un plan de gestión de capacidad que se ocupe específicamente de la protección de la privacidad.
ISO aboga por un enfoque dual para la gestión de la capacidad que aumente la capacidad o reduzca la demanda de un recurso o conjunto de recursos.
Al intentar aumentar la capacidad, las organizaciones deberían:
- Considere contratar nuevos empleados para cumplir con los requisitos comerciales en expansión.
- Expandirse a nuevas ubicaciones físicas, incluidas instalaciones de almacenamiento y procesamiento de datos.
- Considere la posibilidad de utilizar recursos en la nube que se expandan automáticamente para satisfacer las crecientes necesidades de la organización.
Al intentar reducir la demanda, las organizaciones deberían:
- Eliminar datos obsoletos o no utilizados.
- Deseche cualquier copia impresa de la información que la organización ya no necesite y que no esté obligada legalmente a conservar.
- Desmantelar todos los recursos TIC que ya no sean necesarios.
- Implementar tareas TIC programadas que optimicen los recursos de memoria y minimicen el espacio de almacenamiento.
- Asegúrese de que cualquier fragmento de código ejecutable o consulta de base de datos esté optimizado para reducir la demanda de recursos computacionales y de almacenamiento.
- Restrinja el acceso a Internet y prohíba la transmisión de video/audio desde dispositivos de trabajo.
ISO 27701 Cláusula 6.9.1.4 – Separación de entornos de desarrollo, pruebas y operativos
Referencias ISO 27002 Control 8.31
ISO identifica tres entornos de prueba distintos que deben separarse entre sí:
- desarrollo
- Pruebas
- Producción
Para garantizar que la PII esté protegida en los tres entornos (particularmente en todo el entorno de producción), las organizaciones deben:
- Operar sistemas de producción y desarrollo en dominios claramente diferentes (físicos y virtuales).
- Definir rígidamente cómo se implementa el software desde la etapa de desarrollo hasta la etapa de producción.
- Pruebe minuciosamente cualquier cambio en los sistemas de producción en un entorno de prueba, antes de aplicarlos en un entorno real (consulte ISO 27002 Control 8.29).
- Prohibir pruebas en entornos de producción en vivo, salvo casos especiales que hayan recibido autorización previa.
- Asegúrese de que no se pueda acceder a las herramientas de desarrollo desde entornos de producción en vivo, a menos que se requiera explícitamente.
- Etiquetar sistemas y activos para indicar claramente a qué entorno pertenecen.
- Impedir la copia de información relacionada con la privacidad desde el entorno de producción a cualquier otro entorno, a menos que dichos datos estén sujetos al mismo conjunto de controles de seguridad dondequiera que se copien.
Los entornos de desarrollo y pruebas deben estar protegidos por:
- Actualización y parcheo de TODAS las herramientas de desarrollo.
- Configuraciones de mejores prácticas.
- Auditar y monitorear cualquier cambio en el medio ambiente.
- Planes BUDR robustos.
ISO deja explícitamente claro que el personal de desarrollo y pruebas plantea un riesgo desproporcionado para la PII, ya sea directamente debido a acciones maliciosas o inadvertidamente debido a errores en el proceso de desarrollo.
Es de vital importancia que ningún empleado tenga la capacidad de realizar modificaciones dentro y fuera de los entornos de desarrollo y producción sin la autorización adecuada, incluida una revisión de los cambios requeridos y una aprobación de varios pasos (consulte ISO 27002 Control 8.33).
Las organizaciones deben tener mucho cuidado para garantizar la integridad y disponibilidad de la PII durante todo el proceso de desarrollo y prueba, incluidos múltiples entornos de producción en vivo, entornos de capacitación y segregación de funciones.
Controles ISO 27002 relevantes
- ISO 27002 8.29
- ISO 27002 8.33
Controles compatibles con ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.9.1.1 | Documentar los procedimientos operativos |
5.37 – Procedimientos operativos documentados para ISO 27002 |
Ninguno |
| 6.9.1.2 | Gestión del cambio |
8.32 – Gestión de cambios para ISO 27002 |
Ninguno |
| 6.9.1.3 | Gestión de capacidad |
8.6 – Gestión de Capacidad para ISO 27002 |
Ninguno |
| 6.9.1.4 | Separación de entornos operativos, de prueba y de desarrollo |
8.31 – Separación de los entornos de desarrollo, prueba y producción para ISO 27002 |
Ninguno |
Cómo ayuda ISMS.online
Para cumplir con la norma ISO 27701, debe crear un Sistema de gestión de información de privacidad (PIMS). Con nuestro PIMS prediseñado, puede gestionar y organizar de forma rápida y sencilla los datos de clientes, proveedores y empleados para satisfacer plenamente el estándar.
Además, ISMS.online puede adaptarse al creciente número de regulaciones de privacidad globales, regionales y específicas del sector.
Antes de obtener la certificación ISO 27701 (privacidad), primero debe obtener la certificación ISO 27001 (seguridad de la información). Afortunadamente, nuestra plataforma puede ayudarle a lograr ambas cosas.
Descubre más por reservar una demostración.
