11 minute read
ANEXO A DE LA NORMA
ISO/IE 27001:2022
Las medidas implementadas por la organización que ayudan a modificar o resistir las ciberamenazas son denominadas controles, y se pueden clasificar en dos, los que ayudan a mantener los riesgos y los que ayudan a modificarlos. Teniendo en cuenta lo anterior la premisa de la norma ISO/IEC 22001:2022 es “La política de seguridad de la información, permite mantener los riesgos, mientras que el cumplimiento de esta permite modificarlos”
Advertisement
En la norma ISO/IEC 22002 se describen 5 características de los controles que ayudarán a las organizaciones en el monitoreo de estos.
1. Tipo de Control: Este atributo permite a las organizaciones ver cuándo y como el control o controles modifican el riesgo con respecto a la ocurrencia de un incidente. Los tipos de control se clasifican como:
\ Preventivos: Su intención es prevenir la ocurrencia de algún incidente.
\ De detección: Su intención es la de actuar cuando ocurre un incidente.
\ Correctivos: Su intención es actuar después de que ha ocurrido un incidente.
2. Propiedades de la seguridad de la información: este atributo permite a las organizaciones ver si los controles logran mantener las características de: confidencialidad, integridad y disponibilidad.
3. Conceptos de ciberseguridad: este atributo permite a las organizaciones ver si los controles son capaces de identificar, proteger, detectar y recuperar la información de valor para la organización.
\ Identificar: Dónde está almacenada la información de valor para la organización.
\ Proteger: Asegurar que los activos de la organización cuenten con la protección adecuada de acuerdo con el tipo de ciberamenaza detectada.
\ Detectar: Las medidas de seguridad deben ser capaces de emitir alertas cuando se presenta un incidente.
\ Recuperar: Las medidas de seguridad deben permitir a la organización respaldar la información almacenada para en caso de un incidente esta pueda ser recuperada.
4. Capacidad operativa: Permite a las organizaciones ver las capacidades tecnológicas, recursos humanos, legales y financieros con las que cuenta para enfrentar los incidentes.
5. Dominios de Seguridad: Permite a las organizaciones ver los controles desde la perspectiva de cuatro dominios de seguridad de la información:
\ Administración y entorno: Gestionar los riesgos relacionados con la seguridad de la información, así como la ciberseguridad del entorno incluidas las partes interesadas.
\ Protección: Mantenimiento y actualización.
\ Defensa: Detección y gestión de incidentes.
\ Resiliencia: Gestión de crisis.
El Anexo A es un documento normativo en el que se establecen los controles de seguridad específicos de ISO/IEC 27001. Todos estos controles derivan de la norma ISO/IEC 27002:2022 en donde se da una orientación para la implementación de estos. En la nueva versión existe una reestructuración y reagrupación de estos controles con la finalidad de facilitar su comprensión e implementación. Será cada organización la encargada de elegir, dentro del catálogo de controles, los que consideran aplicables para garantizar la seguridad de su información. Sin embargo, la experiencia ha demostrado que en la mayoría de las organizaciones los controles aplicables son la gran mayoría. El criterio principal para la selección de los controles será el resultado de la gestión de riesgos realizada por la organización.
Principales Cambios
En la versión de 2013 se proponían 114 controles de seguridad agrupados en 14 grupos, mientras que en la nueva versión se reducen a 93 controles agrupados dentro de los siguientes cuatro grupos:
\ Controles organizacionales.
\ Controles relativos a Personas.
\ Controles físicos.
\ Controles tecnológicos.
Controles Organizacionales
Los controles de este grupo se centran en la política de seguridad de la información, la cual debe ser definida, aprobada y revisada a intervalos planificados por la alta dirección, publicada y comunicada a todas las partes interesadas. Lo anterior con la finalidad de garantizar el apoyo al SGSI de acuerdo con los requisitos comerciales, legales y contractuales de la organización.
En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.
Políticas para la seguridad de la información. La política de seguridad de la información y las políticas específicas de cada tema se deben definir, aprobar, publicar y comunicar por la dirección, y reconocer por el personal y las partes interesadas pertinentes, así como ser revisadas a intervalos planificados y, si se producen cambios significativos, actualizarse.
Roles y responsabilidades en seguridad de la información.
Las funciones y responsabilidades en materia de seguridad de la información se deben definir y asignar en función de las necesidades de la organización.
Segregación de funciones. Las funciones y áreas de responsabilidad conflictivas deben estar separadas.
Abordar la seguridad de la información en los acuerdos con los proveedores. Los requisitos de seguridad de la información pertinentes se deben establecer y acordar con cada proveedor en función del tipo de proveedor.
Gestión de la seguridad de la información en la cadena de suministro de las tecnologías de la información y la comunicación (TIC).
Se deben definir y aplicar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC.
Monitoreo, revisión y gestión de cambios de los servicios de los proveedores.
La organización debe supervisar, revisar, evaluar y gestionar regularmente los cambios en las prácticas de seguridad de la información de los proveedores y la prestación de servicios
Responsabilidades de gestión.
La dirección debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida y las políticas y procedimientos específicos de la organización.
Seguridad de la información para el uso de servicios en la nube. Los procesos de adquisición, uso, gestión y salida de los servicios en la nube se deben establecer de acuerdo con los requisitos de seguridad de la información de la organización.
CERTIFICATEControl nuevo
En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.
Contacto con autoridades.
La organización debe establecer y mantener contacto con las autoridades pertinentes.
Planificación y preparación de la gestión de incidentes de seguridad de la información.
La organización debe planificar y preparar la gestión de los incidentes de seguridad de la información definiendo, estableciendo y comunicando los procesos de gestión de incidentes de seguridad de la información, las funciones y las responsabilidades. Contacto con grupos de interés especial. La organización debe establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad.
Inteligencia sobre amenazas.
La información relativa a las amenazas a la seguridad de la información se debe recopilar y analizar para producir inteligencia sobre amenazas.
CERTIFICATEControl nuevo
Seguridad de la información en la gestión de proyectos.
La seguridad de la información se debe integrar en la gestión de proyectos.
Inventario de información y otros activos asociados.
Se debe elaborar y mantener un inventario de la información y otros activos asociados, incluidos los propietarios.
Uso aceptable de la información y otros activos asociados.
Se deben identificar, documentar y aplicar normas y procedimientos para el uso aceptable y el manejo de información y otros activos asociados.
Devolución de activos.
El personal y otras partes interesadas, según corresponda, deben devolver todos los bienes de la organización que estén en su poder cuando cambien o terminen su empleo, contrato o acuerdo.
Clasificación de la información.
La información se debe clasificar en función de las necesidades de seguridad de la información de la organización, sobre la base de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.
Evaluación y decisión sobre eventos de seguridad de la información.
La organización debe evaluar los eventos de seguridad de la información y decidir si deben ser categorizados como incidentes de seguridad de la información.
Respuesta a los incidentes de seguridad de la información.
Se debe responder a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.
Aprender de los incidentes de seguridad de la información.
Los conocimientos obtenidos de los incidentes de seguridad de la información se deben utilizar para reforzar y mejorar los controles de seguridad de la información.
Recopilación de pruebas.
La organización debe establecer y aplicar procedimientos para la identificación, recopilación, adquisición y conservación de pruebas relacionadas con eventos de seguridad de la información.
Seguridad de la información durante una interrupción.
La organización debe planificar cómo mantener la seguridad de la información en un nivel adecuado durante la interrupción.
Preparación de las TIC para la continuidad del negocio.
La preparación de las TIC se debe planificar, aplicar, mantener y probar en función de los objetivos de continuidad del negocio y de los requisitos de continuidad de las TIC.
CERTIFICATEControl nuevo
Requisitos legales, reglamentarios y contractuales.
Los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información y el enfoque de la organización para cumplir con estos requisitos deben ser identificados, documentados y mantenidos al día.
En la versión ISO/IEC 27001:2022[7] se mantienen 34 controles anteriores y se agregan 3 controles nuevos.
Etiquetado de la información.
Se debe desarrollar y aplicar un conjunto adecuado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.
Transferencia de información.
Se deben establecer normas, procedimientos o acuerdos de transferencia de información para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.
Control de acceso.
Se deben establecer y aplicar normas para controlar el acceso físico y lógico a la información y otros activos asociados, basándose en los requisitos de seguridad de la organización y de la información.
Gestión de la identidad.
Se debe gestionar el ciclo de vida completo de las identidades.
Derechos de propiedad intelectual. La organización debe aplicar procedimientos adecuados para proteger los derechos de propiedad intelectual.
Protección de los registros.
Los registros se deben proteger contra la pérdida, la destrucción, la falsificación, el acceso no autorizado y la divulgación no autorizada.
Privacidad y protección de la información personal identificable (PII).
La organización debe identificar y cumplir los requisitos relativos a la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.
Revisión independiente de la seguridad de la información.
El enfoque de la organización para la gestión de la seguridad de la información y su aplicación, incluidas las personas, los procesos y las tecnologías, se debe revisar de forma independiente a intervalos planificados o cuando se produzcan cambios significativos.
Información de autentificación.
La asignación y gestión de la información de autenticación se debe controlar mediante un proceso de gestión, que incluya el asesoramiento al personal sobre el manejo adecuado de la información de autenticación.
Derechos de acceso.
Los derechos de acceso a la información y a otros activos asociados deben ser proporcionados, revisados, modificados y eliminados de acuerdo con la política específica de la organización sobre el tema y las reglas para el control de acceso.
Seguridad de la información en las relaciones con los proveedores.
Se deben definir y aplicar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados al uso de los productos o servicios del proveedor.
Cumplimiento de las políticas, reglas y normas de seguridad de la información.
Se debe revisar periódicamente el cumplimiento de la política de seguridad de la información de la organización, las políticas específicas de cada tema, las reglas y las normas.
Procedimientos operativos documentados. Los procedimientos de funcionamiento de las instalaciones de tratamiento de la información deben estar documentados y a disposición del personal que los necesite.
Controles Relativos A Las Personas
Los controles aquí agrupados se enfocan en promover la toma de conciencia y educación en temas de seguridad de la información a todo el personal interno y externo de la organización, con el propósito de asegurar que este sea consciente de como impactan sus acciones en el SGSI. Se hace especial énfasis en que el personal involucrado en el SGSI cuente con las competencias necesarias para desempeñar sus funciones.
En este grupo se mantienen los 8 controles de la versión ISO/IEC 27001:2013 [7]
Detección (Screening).
Las comprobaciones de los antecedentes de todos los candidatos a personal se deben llevar a cabo antes de incorporarse a la organización y de forma continua, teniendo en cuenta las leyes, los reglamentos y la ética aplicables, y serán proporcionales a los requisitos de la empresa, la clasificación de la información a la que se va a acceder y los riesgos percibidos.
Condiciones de contratación.
Los acuerdos contractuales de empleo deben establecer las responsabilidades del personal y de la organización en materia de seguridad de la información.
Responsabilidades tras el cese o el cambio de empleo.
Las responsabilidades y obligaciones en materia de seguridad de la información que sigan siendo válidas después de la terminación o el cambio de empleo se deben definir, aplicar y comunicar al personal pertinente y a otras partes interesadas.
Acuerdos de confidencialidad o no divulgación. Los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la información deben ser identificados, documentados, revisados periódicamente y firmados por el personal y otras partes interesadas pertinentes.
Sensibilización, educación y formación en materia de seguridad de la información. El personal de la organización y las partes interesadas pertinentes deben recibir una concienciación, educación y formación adecuadas en materia de seguridad de la información, así como actualizaciones periódicas de la política de seguridad de la información de la organización y de las políticas y procedimientos específicos, según corresponda a su función laboral.
Proceso disciplinario. Se debe formalizar y comunicar un proceso disciplinario para tomar medidas contra el personal y otras partes interesadas pertinentes que hayan cometido una infracción de la política de seguridad de la información.
Trabajo a distancia. Se deben aplicar medidas de seguridad cuando el personal trabaje a distancia para proteger la información a la que se accede, se procesa o se almacena fuera de los locales de la organización.
Informes de eventos de seguridad de la información.
La organización debe proporcionar un mecanismo para que el personal informe de los eventos de seguridad de la información observados o sospechosos a través de los canales apropiados de manera oportuna
Controles F Sicos
En este grupo los controles ayudan a evitar el acceso físico no autorizado y el daño a los activos de la organización. Los controles consisten en garantizar que las áreas denominadas como seguras estén diseñadas de manera adecuada y protegidas por acceso controlados con el fin de asegurar solo el acceso a personal autorizado a la información de la organización.
En esta nueva versión[7] se proponen 14 controles, se mantienen 13 de la versión anterior y se agrega 1 control nuevo
Perímetros de seguridad física.
Se deben definir y utilizar perímetros de seguridad para proteger las zonas que contienen información y otros activos asociados.
Entrada física.
Las zonas seguras deben estar protegidas por controles de entrada y puntos de acceso adecuados.
Asegurar las oficinas, salas e instalaciones. Se debe diseñar y aplicar la seguridad física de las oficinas, salas e instalaciones.
Supervisión de la seguridad física. Las instalaciones deben estar continuamente vigiladas para evitar el acceso físico no autorizado.
CERTIFICATEControl nuevo
Protección contra las amenazas físicas y medioambientales.
Se debe diseñar y aplicar la protección contra las amenazas físicas y medioambientales, como las catástrofes naturales y otras amenazas físicas intencionadas o no intencionadas para las infraestructuras.
Trabajar en zonas seguras.
Se deben diseñar y aplicar medidas de seguridad para trabajar en zonas seguras.
Escritorio y pantalla despejados.
Se deben definir y aplicar adecuadamente las normas de limpieza de los escritorios para los papeles, los medios de almacenamiento extraíbles y las normas de limpieza de las pantallas para las instalaciones de procesamiento de la información.
Ubicación y protección de los equipos. El equipo debe estar ubicado de forma segura y protegida.
Seguridad de los activos fuera de las instalaciones.
Se deben proteger los activos fuera del sitio.
Medios de almacenamiento. Los soportes de almacenamiento se deben gestionar a lo largo de su ciclo de vida de adquisición, uso, transporte y eliminación de acuerdo con el esquema de clasificación y los requisitos de manipulación de la organización.
Servicios de apoyo.
Las instalaciones de procesamiento de la información deben estar protegidas contra los cortes de energía y otras interrupciones causadas por fallos en los servicios públicos de apoyo.
Seguridad del cableado. Los cables que transporten energía, datos o servicios de información de apoyo deben estar protegidos contra la interceptación, las interferencias o los daños.
Mantenimiento de los equipos. Los equipos se deben mantener correctamente para garantizar la disponibilidad, integridad y confidencialidad de la información.
Eliminación segura o reutilización de los equipos.
Los equipos que contengan soportes de almacenamiento se deben verificar para garantizar que los datos sensibles y los programas informáticos con licencia se hayan eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.
