¿Cuáles son los 11 nuevos controles de seguridad en ISO 27001:2022?
Algunos de estos nuevos controles son muy similares a los controles antiguos de la revisión de 2013, sin embargo, dado que estos controles se clasificaron como nuevos en la norma ISO 27002:2022, se han enumerado los 11 en este artículo. Como fuente principal se usaron las pautas de ISO 27002:2022. Para cumplir con la norma ISO 27001 no es obligatorio seguir las pautas de la norma ISO 27002, lo que significa que las sugerencias de este artículo son opcionales. Finalmente, tenga en cuenta que estos controles no son obligatorios: ISO 27001 le permite excluir un control si (1) no identificó riesgos relacionados y (2) si no existen requisitos legales/normativos/contractuales para implementar ese control en particular. Cada control en este artículo tiene una descripción general de los requisitos, tecnología, personas y documentación. Entonces, repasemos los 11 controles con más detalle.
A.5.7 Inteligencia de amenazas
Descripción, este control requiere que recopiles información sobre las amenazas y las analices para poder tomar las medidas de mitigación adecuadas. Esta información podría ser sobre ataques particulares, sobre métodos y tecnologías que utilizan los atacantes y/o sobre tendencias de ataques. Debe recopilar esta información internamente, así como de fuentes externas como informes de proveedores, anuncios de agencias gubernamentales, etc. Tecnología. Las empresas más pequeñas probablemente no necesiten ninguna tecnología nueva relacionada con este control; más bien, tendrán que averiguar cómo extraer la información sobre amenazas de sus sistemas existentes. Si aún no tienen uno, las empresas más grandes deberán adquirir un sistema que les alerte sobre nuevas amenazas (así como sobre vulnerabilidades e incidentes). Las empresas de cualquier tamaño tendrán que usar información sobre amenazas para fortalecer sus sistemas. Organización/procesos. Debe establecer los procesos sobre cómo recopilar y utilizar la información sobre amenazas para introducir controles preventivos en sus sistemas de TI, mejorar su evaluación de riesgos e introducir nuevos métodos para las pruebas de seguridad. Gente. Concientice a los empleados sobre la importancia de enviar notificaciones de amenazas y capacítelos sobre cómo y a quién deben comunicarse esta amenazas. Documentación. ISO 27001 no requiere documentación,sin embargo, puede incluir reglas sobre inteligencia de amenazas en los siguientes documentos: • Política de seguridad de proveedores: defina cómo se comunica la información sobre amenazas entre la empresa y sus proveedores y socios. • Procedimiento de gestión de incidentes: define cómo se comunica la información sobre amenazas internamente en la empresa. • Procedimientos operativos de seguridad: defina cómo recopilar y procesar información sobre las amenazas.
A.5.23 Seguridad de la información para el uso de servicios en la nube
Descripción. Este control requiere que establezca requisitos de seguridad para los servicios en la nube a fin de tener una mejor protección de su información en la nube. Esto incluye la compra, el uso, la gestión y la finalización del uso de los servicios en la nube. Tecnología. En la mayoría de los casos, no se necesitará nueva tecnología, porque la mayoría de los servicios en la nube ya cuentan con funciones de seguridad. En algunos casos, es posible que deba actualizar su servicio a uno más seguro, mientras que en algunos casos excepcionales deberá cambiar el proveedor de la nube si no tiene funciones de seguridad. En su mayor parte, el único cambio requerido será el uso de las funciones de seguridad en la nube existentes de una manera más exhaustiva. Organización/procesos. Debe configurar un proceso para determinar los requisitos de seguridad para los servicios en la nube y para determinar los criterios para seleccionar un proveedor de la nube; además, debe definir un proceso para determinar el uso aceptable de la nube, y también los requisitos de seguridad al cancelar el uso de un servicio en la nube. Gente. Concientice a los empleados sobre los riesgos de seguridad del uso de servicios en la nube y capacítelos sobre cómo usar las características de seguridad de los servicios en la nube. Documentación. ISO 27001 no requiere documentación, sin embargo, si es una empresa más pequeña, puede incluir reglas sobre los servicios en la nube en la Política de seguridad del proveedor. Las empresas más grandes podrían desarrollar una política separada que se centre específicamente en la seguridad de los servicios en la nube.
A.5.30 Preparación de las TIC para la continuidad del negocio
Descripción. Este control requiere que su tecnología de la información y la comunicación esté lista para posibles interrupciones, de modo que la información y los activos necesarios estén disponibles cuando se necesiten. Esto incluye la planificación de la preparación, la implementación, el mantenimiento y las pruebas. Tecnología. Si no invirtió en soluciones que permiten la resiliencia y la redundancia de sus sistemas, es posible que deba introducir dicha tecnología, que puede variar desde la copia de seguridad de datos hasta enlaces de comunicación redundantes. Estas soluciones deben planificarse en función de su evaluación de
A.7.4 Supervisión de la seguridad física
Descripción. Este control requiere que monitoree áreas sensibles para permitir que solo las personas autorizadas accedan a ellas. Esto podría incluir sus oficinas, instalaciones de producción, almacenes y otras instalaciones. Tecnología. Dependiendo de sus riesgos, es posible que deba implementar sistemas de alarma o monitoreo de video; también puede decidir implementar una solución no tecnológica como una persona que observa el área (por ejemplo, un guardia). Organización/procesos. Debe definir quién está a cargo del monitoreo de las áreas sensibles y qué canales de comunicación usar para reportar un incidente. Gente. Concientice a los empleados sobre los riesgos de la entrada física no autorizada en áreas sensibles y capacítelos sobre cómo usar la tecnología de monitoreo. Documentación. ISO 27001 no requiere documentación,sin embargo, puede incluir el monitoreo de la seguridad física en los siguientes documentos: • Procedimientos que regulan la seguridad física: qué se monitorea y quién está a cargo de monitorear • Procedimiento de gestión de incidentes: cómo informar y manejar un incidente de seguridad física.
A.8.9 Gestión de la configuración
Descripción. Este control requiere que administre todo el ciclo de configuración de seguridad de su tecnología para garantizar un nivel adecuado de seguridad y evitar cambios no autorizados. Esto incluye definición de configuración, implementación, monitoreo y revisión. Tecnología. La tecnología cuya configuración debe administrarse podría incluir software, hardware, servicios o redes. Las empresas más pequeñas probablemente podrán manejar la gestión de la configuración sin herramientas adicionales, mientras que las empresas más grandes probablemente necesiten algún software que haga cumplir las configuraciones definidas. Organización/procesos. Debe configurar un proceso para proponer, revisar y aprobar configuraciones de seguridad, así como los procesos para administrar y monitorear las configuraciones. Gente. Concientice a los empleados sobre por qué es necesario un control estricto de la configuración de seguridad y capacítelos sobre cómo definir e implementar configuraciones de seguridad. Documentación. ISO 27001 requiere que este control esté documentado. Si es una empresa pequeña, puede documentar las reglas de configuración en sus Procedimientos operativos de seguridad. Las empresas más grandes suelen tener un procedimiento separado que define el proceso de configuración. Por lo general, tendrá especificaciones separadas que definen las configuraciones de seguridad para cada uno de sus sistemas, a fin de evitar actualizaciones frecuentes de los documentos mencionados en el párrafo anterior. Además, todoslos cambios en las configuraciones deben registrarse para habilitar un seguimiento de auditoría.
A.8.10 Eliminación de información
Descripción: Este control requiere que elimine los datos cuando ya no sean necesarios, para evitar la fuga de información confidencial y permitir el cumplimiento de la privacidad y otros requisitos: Esto podría incluir la eliminación en sus sistemas de TI como disco duros, medios extraíbles como USB o servicios en la nube. Tecnología: Debería utilizar herramientas para la eliminación segura, de acuerdo con los requisitos normativos o contractuales, o de acuerdo con su evaluación de riesgos. Organización/procesos: Debe configurar un proceso que definirá qué datos deben eliminarse y cuándo, y definir las responsabilidades y los métodos para la eliminación. Gente: Concientice a los empleados sobre por qué es importante eliminar información confidencial y entrénelos sobre cómo hacerlo correctamente. Documentación: ISO 27001 no requiere documentación, sin embargo, puede incluir reglas sobre la eliminación de información en los siguientes documentos: • Política de eliminación y destrucción: cómo se elimina la información en los medios extraíbles. • Política de uso aceptable: cómo los usuarios regulares deben eliminar la información confidencial en sus computadoras y dispositivos móviles. • Procedimientos operativos de seguridad: cómo los administradores de sistemas deben eliminar la información confidencial en servidores y redes. • Las organizaciones más grandes también pueden tener una política de retención de datos que define cuánto tiempo se necesita cada tipo de información y cuándo se debe eliminar.
A.8.11 Enmascaramiento de datos
Descripción: Ese control requiere que utilice el enmascaramiento de datos junto con el control de acceso para limitar la exposición de información confidencial. Esto significa principalmente datos personales, porque están fuertemente regulados por las normas de privacidad, pero también podría incluir otras categorías de datos confidenciales. Tecnología, Las empresas pueden utilizar herramientas de seudonimización o anonimización para enmascarar datos si así lo exigen las normas de privacidad u otras. También se pueden utilizar otros métodos como el cifrado o la ofuscación. Organización/procesos. Debe configurar procesos que determinen qué datos deben enmascararse, quién puede acceder a qué tipo de datos y qué métodos se utilizarán para enmascarar los datos. Gente. Informe a los empleados de por qué es importante enmascarar los datos y capacítelos sobre qué datos deben enmascararse y cómo. Documentación. ISO 27001 no requiere documentación, sin embargo, puede incluir reglas sobre el enmascaramiento de datos en los siguientes documentos:
A.8.23 Filtrado web
Descripción. Este control requiere que administre a qué sitios web acceden sus usuarios para proteger sus sistemas de TI. De esta manera, puede evitar que sus sistemas se vean comprometidos por código malicioso y también evitar que los usuarios utilicen materiales ilegales de Internet. Tecnología. Podría usar herramientas que bloqueen el acceso a direcciones IP particulares, lo que podría incluir el uso de software antimalware. También puede usar métodos no tecnológicos como desarrollar una lista de sitios web prohibidos y pedirles a los usuarios que no los visiten. Organización/procesos. Debe configurar procesos que determinen qué tipos de sitios web no están permitidos y cómo se mantienen las herramientas de filtrado web. Gente. Informe a los empleados sobre los peligros del uso de Internet y dónde encontrar pautas para un uso seguro, y capacite a los administradores de su sistema sobre cómo realizar el filtrado web. Documentación. ISO 27001 no requiere documentación, sin embargo, si es una empresa más pequeña, puede incluir reglas sobre el filtrado web en los siguientes documentos: • Procedimientos operativos de seguridad: defina reglas para los administradores del sistema sobre cómo implementar el filtrado web. • Política de uso aceptable: defina reglas para todos los usuarios sobre lo que es un uso aceptable de Internet. • Las empresas más grandes podrían desarrollar un procedimiento separado que describa cómo se realiza el filtrado web.
A.8.28 Codificación segura
Descripción: Este control requiere que establezca principios de codificación seguros y los aplique a su desarrollo de software para reducir las vulnerabilidades de seguridad en el software. Esto podría incluir actividades antes, durante y después de la codificación. Tecnología: Es posible que esté utilizando herramientas para mantener un inventario de bibliotecas, para proteger el código fuente de la manipulación, para registrar errores y ataques, y para realizar pruebas; también podría usar componentes de seguridad como autenticación, encriptación, etc. Organización/procesos: Debe establecer un proceso para definir la línea de base mínima de codificación segura, tanto para el desarrollo de software interno como para componentes de software de terceros, un proceso para monitorear amenazas emergentes y asesoramiento sobre codificación segura, un proceso para decidir qué herramientas y bibliotecas externas pueden ser utilizados, y un proceso que define las actividades realizadas antes de la codificación, durante la codificación, después de la codificación (revisión y mantenimiento) y para la modificación del software. Gente: Haga que sus desarrolladores de software sean conscientes de la importancia de utilizar principios de codificación segura y capacítelos sobre métodos y herramientas para la codificación segura. Documentación: ISO 27001 no requiere documentación, sin embargo, si es una empresa más pequeña, puede incluir reglas sobre codificación segura en la Política de desarrollo seguro. Las empresas más grandes pueden desarrollar procedimientos separados para la codificación segura para cada uno de sus proyectos de desarrollo de software.