| 25 años generando CONFIANZA
Índice de contenidos
ToggleControles Tecnológicos ISO 27002:2022
La infraestructura tecnológica es el medio para la operación, explotación y transmisión de la información en todo su ciclo de vida. Por eso su cuidado es fundamental. La norma ISO/IEC 27002:2022 contempla los controles tecnológicos en el apartado 8.
En el 8.1 – Dispositivos de punto final de usuario se encuentra un control preventivo que tiene como objeto proteger la información contra los riesgos introducidos por el uso de dispositivos de punto final de usuario.
El estándar también busca preservar la confidencialidad, disponibilidad e integridad de la información al limitar y administrar los derechos de acceso privilegiado (8.2). Es muy importante que solo los usuarios, los componentes y servicios de software autorizados reciban derechos de acceso privilegiado.
Con el propósito de asegurar solo el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados, existe el punto 8.3 Restricción de acceso a la información. Allí se indica que el acceso a la información y otros activos asociados debe estar restringido de acuerdo con la política específica del tema establecida sobre control de acceso. El punto 8.4 Acceso al código fuente, respectivamente, apunta que el acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software debe administrarse adecuadamente. Con ello se busca evitar la introducción de funciones no autorizadas, evitar cambios no intencionales o maliciosos y mantener la confidencialidad de la propiedad intelectual valiosa.
La autenticación segura (8.5) también es un tema cubierto por la norma ISO/IEC 27002. Este control aduce que las tecnologías y los procedimientos de autenticación segura deben implementarse en función de las restricciones de acceso a la información y la política específica del tema sobre el control de acceso. El apartado 8.6 Gestión de la capacidad tiene el propósito de asegurar la capacidad requerida de las instalaciones de procesamiento de información, recursos humanos, oficinas y otras instalaciones.
La protección contra malware (8.7) no queda relegada, puesto que el control expone que la protección contra el malware debe implementarse y respaldarse mediante la conciencia adecuada del usuario. ¿Con qué fin? Con el de garantizar que la información y otros activos asociados estén protegidos contra malware.
Uno de los 34 puntos de los controles tecnológicos es el 8.8 Gestión de vulnerabilidades técnicas, allí queda claro que se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se debe evaluar la exposición de la organización a tales vulnerabilidades y se deben tomar las medidas apropiadas, para prevenir la explotación de vulnerabilidades técnicas.
La gestión de la configuración queda a cargo del (8.9), el cual indica que las configuraciones, incluidas las de seguridad, de hardware, software, servicios y redes deben establecerse, documentarse, implementarse, monitorearse y revisarse con el fin de que funcionen correctamente con la configuración de seguridad requerida, y que la configuración no se altere por cambios no autorizados o incorrectos.
La eliminación de información no puede dejarse al descuido y el comité técnico de la ISO lo sabe. Por eso el punto 8.10 es categórico al precisar que la información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debe ser eliminada cuando ya no sea necesaria. Con esto se pretende evitar la exposición innecesaria de información confidencial y cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales para la eliminación de información. Por su parte, el enmascaramiento de datos (8.11) es un control preventivo que expresa que este se debe utilizar de acuerdo con la política específica del tema de la organización sobre el control de acceso y otras políticas relacionadas con el tema específico, y los requisitos comerciales, teniendo en cuenta la legislación aplicable, con el fin de limitar la exposición de datos confidenciales, incluida la PII, y para cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales.
El punto 8.12 – Prevención de fuga de datos trata de que las medidas de prevención de fuga de datos deben aplicarse a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.
El apartado 8, además, cuenta con los siguientes controles:
- 13 Copia de seguridad de la información
- 14 Redundancia de las instalaciones de procesamiento de información
- 15 Registro
- 16 Actividades de seguimiento
- 17 Sincronización del reloj
- 18 Uso de programas de utilidad privilegiados
- 19 Instalación de software en sistemas operativos
- 20 Seguridad de redes
- 21 Seguridad de los servicios de red
- 22 Segregación de redes
- 23 Filtrado web
- 24 Uso de criptografía
- 25 Ciclo de vida de desarrollo seguro
- 26 Requisitos de seguridad de la aplicación
- 27 Arquitectura del sistema seguro y principios de ingeniería
- 28 Codificación segura
- 29 Pruebas de seguridad en desarrollo y aceptación
- 30 Desarrollo subcontratado
- 31 Separación de los entornos de desarrollo, prueba y producción
- 32 Gestión de cambios
- 33 Información de prueba
- 34 Protección de los sistemas de información durante las pruebas de auditoría
Software Seguridad de la Información ISOTools
Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.
Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...