5 minute read
CONTROLES TECNOLÓGICOS
Los controles en este grupo permiten garantizar el ciclo de vida de la información es decir permiten mantenerla segura desde su almacenamiento y transmisión hasta su eliminación de la red.
En esta versión ISO/IEC 27002:2020[7] se proponen 34 controles de los cuales 27 se mantienen de la versión anterior y se proponen 7 nuevos controles.
Advertisement
Dispositivos de punto final del usuario. Se debe proteger la información almacenada, procesada o accesible a través de los dispositivos de punto final del usuario.
Derechos de acceso con privilegios. La asignación y el uso de los derechos de acceso privilegiados deben ser restringidos y gestionados.
Restricción del acceso a la información. El acceso a la información y a otros activos asociados se debe restringir de acuerdo con la política específica de control de acceso establecida.
Acceso al código fuente. El acceso de lectura y escritura al código fuente, a las herramientas de desarrollo y a las bibliotecas de software se debe gestionar adecuadamente.
Autenticación segura.
Las tecnologías y procedimientos de autenticación segura se deben aplicar en función de las restricciones de acceso a la información y de la política específica de control de acceso.
Gestión de la capacidad.
La utilización de los recursos se debe supervisar y ajustar en función de las necesidades de capacidad actuales y previstas.
Protección contra el malware.
La protección contra los programas maliciosos debe ser implementada y apoyada por una adecuada concienciación de los usuarios.
Gestión de las vulnerabilidades técnicas.
Se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso. Se evaluará la exposición de la organización a dichas vulnerabilidades y se tomarán las medidas adecuadas.
Gestión de la configuración.
Las configuraciones, incluidas las de seguridad, del hardware, el software, los servicios y las redes se deben establecer, documentar, aplicar, supervisar y revisar.
CERTIFICATEControl nuevo
Uso de programas de utilidad privilegiados. El uso de programas de utilidad que puedan ser capaz de anular los controles del sistema y de la aplicación debe ser restringido y controlado estrictamente.
Instalación de software en sistemas operativos. Se deben aplicar procedimientos y medidas para gestionar de forma segura la instalación de software en los sistemas operativos.
Seguridad de las redes. Las redes y los dispositivos de red deben estar asegurados, gestionados y controlados para proteger la información de los sistemas y aplicaciones.
Seguridad de los servicios de red.
Se deben identificar, aplicar y supervisar los mecanismos de seguridad, los niveles de servicio y los requisitos de servicio de los servicios de red.
Segregación de redes.
Los grupos de servicios de información, los usuarios y los sistemas de información deben estar segregados en las redes de la organización.
Filtrado web.
El acceso a sitios web externos se debe gestionar para reducir la exposición a contenidos maliciosos. CERTIFICATEControl nuevo
Uso de criptografía.
Se deben definir y aplicar normas para el uso eficaz de la criptografía, incluida la gestión de claves criptográficas.
Ciclo de vida de desarrollo seguro.
Se deben establecer y aplicar normas para el desarrollo seguro de software y sistemas.
Requisitos de seguridad de las aplicaciones. Los requisitos de seguridad de la información se deben identificar, especificar y aprobar cuando se desarrollen o adquieran aplicaciones.
En esta versión ISO/IEC 27002:2020[7] se proponen 34 controles de los cuales 27 se mantienen de la versión anterior y se proponen 7 nuevos controles.
Eliminación de información.
La información almacenada en los sistemas de información, dispositivos o en cualquier otro medio de almacenamiento se debe eliminar cuando ya no sea necesaria.
CERTIFICATEControl nuevo
Enmascaramiento de datos.
El enmascaramiento de datos se debe utilizar de acuerdo con la política específica de la organización sobre el control de acceso y otras políticas temáticas relacionadas, así como con los requisitos empresariales, teniendo en cuenta la legislación aplicable.
CERTIFICATEControl nuevo
Prevención de fuga de datos.
Las medidas de prevención de fuga de datos se deben aplicar a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información sensible
CERTIFICATEControl nuevo
Información de respaldo. Las copias de seguridad de la información, los programas informáticos y los sistemas se deben mantener y comprobar periódicamente de acuerdo con la política acordada en materia de copias de seguridad.
Redundancia de las instalaciones de tratamiento de la información.
Las instalaciones de procesamiento de la información se deben implementar con una redundancia suficiente para cumplir con los requisitos de disponibilidad.
Registro.
Se deben producir, almacenar, proteger y analizar las bitácoras que registran las actividades, las excepciones, los fallos y otros eventos relevantes.
Actividades de seguimiento.
Las redes, los sistemas y las aplicaciones se deben supervisar para detectar comportamientos anómalos y tomar las medidas adecuadas para evaluar posibles incidentes de seguridad de la información
CERTIFICATEControl nuevo
Sincronización del reloj.
Los relojes de los sistemas de procesamiento de la información utilizados por la organización deben estar sincronizados con las fuentes de tiempo aprobadas.
Arquitectura de sistemas seguros y principios de ingeniería.
Se deben establecer, documentar, mantener y aplicar los principios de ingeniería de sistemas seguros a cualquier actividad de desarrollo de sistemas de información.
Codificación segura.
Los principios de codificación segura se deben aplicar al desarrollo de software.
CERTIFICATEControl nuevo
Pruebas de seguridad en el desarrollo y la aceptación.
Los procesos de pruebas de seguridad se deben definir y aplicar en el ciclo de vida del desarrollo.
Desarrollo subcontratado. La organización debe dirigir, supervisar y revisar las actividades relacionadas con el desarrollo de sistemas subcontratados.
Separación de los entornos de desarrollo, prueba y producción. Los entornos de desarrollo, prueba y producción deben estar separados y protegidos.
Gestión del cambio.
Los cambios en las instalaciones de tratamiento de la información y en los sistemas de información se deben someter a procedimientos de gestión de cambios.
Información de la prueba. La información de las pruebas se debe seleccionar, proteger y gestionar adecuadamente.
Protección de los sistemas de información durante las auditorías de prueba. Las auditorías de prueba y otras actividades de garantía que impliquen la evaluación de los sistemas operativos se deben planificar y acordar entre el encargado de las pruebas y la dirección correspondiente.
Podemos notar que esta nueva versión de ISO 27001 presentó múltiples cambios, siendo los más significativos aquellos relacionados con los controles de seguridad, lo anterior debido a la necesidad de adaptación de las organizaciones a este mundo digital en constante cambio.
Conclusiones
Las tendencias de conectividad ofrecen nuevas posibilidades de desarrollo para las organizaciones, pero también les representan nuevos riesgos, los cuales están más allá de los estándares tradicionales y buenas prácticas de seguridad. En consecuencia, las organizaciones deberán ser capaces de responder con una postura que les permita construir una nueva cultura de ciberseguridad para entender los desafíos y amenazas que surgen y evolucionan con el avance tecnológico. Si bien el pronóstico en materia de ciberseguridad está lleno de sorpresas, el implementar un sistema de gestión de seguridad de la información bajo la norma ISO27001:2022 ayudará a cualquier organización a abordar los retos de ciberseguridad con un lenguaje claro y fluido que declara la información como activo relevante confirmado por el liderazgo de la alta dirección, además de permitirle emerger rápidamente como líder en su ramo, al demostrar ante la sociedad compromiso con la seguridad de la información.
Referencias:
[1] M. Nieva y G. Manuel, “La ciberseguridad como factor crítico en la seguridad de la Unión Europea”, Revista UNISCI, núm. 42, pp. 47- 68, 2016.
[2] A. De Geus. “La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento”. Granica. Buenos Aires, Argentina, 2012.
[3] J. Cano. “Reflexión sobre un ejercicio prospectivo incompleto”. Revista Sistemas, Núm. 154, pp. 68 -79, 2020
[4] S. Hurtaud.”Cyber security Time for a new paradigm”. Information & Technology Risk”. Ed. Deloitte. 2014
[5] Información fundamental sobre el significado y sentido de implantación y mantenimiento de los Sistemas de Gestión de la Seguridad de la Información. disponible en https://www.iso27000.es/sgsi.html, visitado 09/02/2023.
[6] ISO/IEC 27001: What’s new in IT security? Disponible en https://www.iso.org/contents/news/2022/10/ new-iso-iec-27001.html visitado 09/03/2022.
[7] Seguridad de la información, ciberseguridad y protección de la privacidad – Sistema de Gestión de la Seguridad de la Información- Requisitos, Norma ISO/IEC 27001:2022. Traducción de Global STD.
