Controles tecnológicos parte II
A lo largo de estas semanas hemos ido haciendo un recorrido por los cambios que la norma ISO 27001 experimentó en 2022, en concreto en torno al módulo encargado de los controles. En el artículo anterior vimos una relación de controles tecnológicos que decidimos dividir en dos partes dada su numerosa cuantía.
Debido a la importancia que la digitalización tiene a día de hoy, establecer unos parámetros para poder custodiar toda la información que se genera en una organización es esencial. A continuación, podrás encontrar otra lista de ellos y cerraremos así el ciclo de este recorrido:
Uso de programas de utilidad privilegiados
El uso de programas de utilidad que pueden anular el sistema y los controles de aplicación serán restringidos y estrictamente controlados.
Instalación de software
A continuación, se implantarán procedimientos y medidas para gestionar de forma segura la instalación de software en sistemas operativos.
Control de seguridad en redes
Así mismo, las redes y los dispositivos de red deben estar protegidos, gestionados y controlados para salvaguardar la información en los sistemas y aplicaciones.
Seguridad de los servicios de red
Por otro lado, los mecanismos de seguridad, niveles de servicio y requisitos de servicio de la red. Los servicios deben ser identificados, implementados y monitoreados.
Los acuerdos de confidencialidad o no divulgación que tiene la empresa deben revisarse y actualizarse periódicamente según #ISO27001
Click To Tweet
Segregación de redes
Además, los grupos de servicios de información, usuarios y sistemas de información deberán segregarse en las redes de la organización.
Control de filtrado web
El acceso a sitios web externos se gestionará para reducir la exposición a contenido malicioso.
Uso de criptografía
Reglas para el uso efectivo de la criptografía, incluida la clave criptográfica de gestión, debe ser definida e implementada.
Ciclo de vida de desarrollo seguro
Las reglas para el desarrollo seguro del software y sistemas deben ser establecido y aplicado.
Requisitos de seguridad de la aplicación
Los requisitos de seguridad de la información deben ser identificados, especificados y aprobados al desarrollar o adquirir aplicaciones.
Arquitectura del sistema seguro y principios de ingeniería
Se deben establecer, documentar y mantener. Serán aplicados a cualquier desarrollo de sistema de información referente a actividades.
Control de codificación segura
Los principios de codificación segura se aplicarán al desarrollo de software.
Pruebas de seguridad en desarrollo y aceptación
Los procesos de pruebas de seguridad se definirán e implementarán en el ciclo de vida del desarrollo.
Control de desarrollo subcontratado
La organización debe dirigir, monitorear y revisar las actividades relacionadas al desarrollo de sistemas subcontratados.
Separación del desarrollo, prueba y entornos de producción
Los entornos de desarrollo, prueba y producción deben estar separados y asegurados.
Control de gestión de cambios
Los cambios en las instalaciones de procesamiento de información y los sistemas de información estarán sujetos a los procedimientos de gestión de cambios.
Información de prueba
La información de las pruebas se seleccionará, protegerá y gestionará adecuadamente.
Protección de los sistemas de información durante las pruebas de auditoría
Incluirán pruebas de auditoría y otras actividades de aseguramiento que involucren la evaluación de los sistemas. Estos deben ser planificados y acordados por el auditor y manejarse apropiadamente. Además, es un paso clave dentro de los controles tecnológicos, ya que nos da una visión externa del funcionamiento del sistema.
Diplomado en Seguridad de la Información ISO/IEC 27001
La norma ISO/IEC 27001:2022 es la versión más actualizada del estándar ISO/IEC 27001. Estos estándares proporcionan pautas para implementar un sistema de gestión de seguridad de la información (SGSI) de acuerdo sus requisitos.
Diplomado en Seguridad de la Información ISO/IEC 27001. Esta capacitación te proporcionará todas las herramientas, habilidades y competencias necesarias para implementar un SGSI basado en la norma ISO 27001. Encuentra esta formación en La Escuela Europea de Excelencia.
¡Inscríbete al Diplomado aquí!
Además, el Software de ISOTools, es una plataforma que agiliza la automatización de los Sistemas de Seguridad de la Información. Si cuentas con la norma ISO/IEC 27001 en tu organización, te ayudamos a automatizar y mantener esta plataforma tecnológica.
The post Controles de la ISO/IEC 27001:2022 (IV). Controles tecnológicos parte II appeared first on PMG SSI – ISO 27001.