Intedya - AspectosClavedelanuevaISO270022022.pdf

ÁREA /
SEGURIDAD DE LA INFORMACIÓN
Aspectos clave de
la nueva
ISO 27002:2022
CONTROLES DE SEGURIDAD DE LA INFORMACIÓN
David Fernández Rodríguez
Área de Seguridad de la Información

ÁREA /
SEGURIDAD DE LA INFORMACIÓN

¿Qué vamos a ver en este seminario?
NUEVA ISO 27002:2022
 ISO 27001:2013 – Anexo A
 Antecedentes ISO 27002
 Incorporación de términos y definiciones
 Nueva estructura de controles
 Nueva agrupación de controles
 Controles eliminados
 Cambios en controles existentes
 Nuevos controles

www.intedya.com
ISO 27001:2013
1.- Objeto y campo de aplicación
Mejora -.10
Evaluación del desempeño -.9
Operación -.8
2.- Normas para consulta Soporte -.7
5.- Liderazgo
4.- Contexto de la organización
3.- Términos y definiciones
Planificación -.6

www.intedya.com
ISO 27001:2013 – Anexo A
Políticas de seguridad de la
información
Organización de la SI
Seguridad relativa a los
RRHH
Gestión de activos
Control de acceso
Criptografía
Seguridad física y del
entorno
Seguridad de las
operaciones
Seguridad de las
comunicaciones
Adquisición, desarrollo y
mantenimiento de los SI
Relación con proveedores
Gestión de incidentes de SI
Aspectos de SI para la
gestión de la continuidad de
negocio
Cumplimiento
14
GRUPOS

¿ISO 27001:2022?

www.intedya.com
Antecedentes ISO 27002
ISO/IEC
17799:2005
ISO/IEC
17799:2000
British
Standard
BS 7799-1
ISO/IEC
27001:2005
ISO/IEC
17799:2005
ISO/IEC
27002:2007
ISO/IEC
27002:2013
ISO/IEC
27001:2013
ISO/IEC
27002:2022

Aspectos clave de la
nueva ISO 27002:2022

Incorporación de Términos
y Definiciones

y Definiciones
 Cadena de custodia: Posesión, movimiento, manejo y ubicación de
material demostrable desde un punto en el tiempo hasta otro
punto en el tiempo.
 Información confidencial: Información no destinada a estar
disponible o a ser revelada a personas, entidades o procesos no
autorizados.

y Definiciones
 Disrupción: Incidente, anticipado o imprevisto, que provoca una
desviación negativa no planificada en la entrega de productos y
servicios prevista según los objetivos de la organización.
 Endpoint device: Dispositivo final de hardware TIC conectado a
red.

y Definiciones
 Brecha de seguridad de la información: Compromiso de seguridad
que lleva a la destrucción, pérdida, alteración, divulgación o acceso
no autorizado de la información transmitida, almacenada o
procesada.
 Personal: Personas que realizan trabajos bajo la dirección de la
organización.

y Definiciones
 Información de identificación personal PII: Cualquier información
que (a) se puede utilizar para establecer un enlace entre la
información y la persona física a la que se vincula la información, o
(b) es o puede ser directa o indirectamente vinculada a una
persona física.
 PII Principal: Persona física a quien se vincula información de
identificación personal (Personally Identifiable Information PII).

y Definiciones
 Procesador de PII (Encargado de tratamiento): Parte interesada
que procesa información de identificación personal en nombre de y
de acuerdo con las instrucciones de un Controlador de PII
(Responsable de tratamiento).
 Evaluación de impacto sobre la privacidad PIA (privacy impact
assessment): Proceso de identificar, analizar, evaluar, consultar,
comunicar y planificar el tratamiento de impactos potenciales con
respecto a la información de identificación personal PII, enmarcada
dentro de la gestión de riesgos de la organización.

y Definiciones
 Punto objetivo de recuperación RPO: Periodo mínimo del que se
recuperarán los datos después de que se haya producido una
interrupción.
 Tiempo objetivo de recuperación RTO: Periodo de tiempo dentro
del cual los niveles mínimos de productos o servicios, así como los
sistemas de soporte, aplicaciones o funciones, deben estar
recuperados después de que se haya producido una interrupción.

y Definiciones
 Regla: Principio o instrucción que define las expectativas de la
organización sobre que se requiere hacer, que está permitido o que
no está permitido.
 Información sensible: Información que debe ser protegida de
indisponibilidad, acceso no autorizado, modificación o divulgación
pública por sus efectos adversos potenciales sobre un individuo,
organización, seguridad nacional o seguridad pública.

y Definiciones
 Política específica: Intenciones y dirección en un tema específico
formalmente expresado por el nivel apropiado de dirección.
 Usuario: Parte interesada con acceso al sistema de información de
la organización.

www.intedya.com
Nueva estructura de controles
CONTROLES
114 93
Políticas de seguridad de la
información
Organización de la SI
Seguridad relativa a los
RRHH
Gestión de activos
Control de acceso
Criptografía
Seguridad física y del
entorno
Seguridad de las
operaciones
Seguridad de las
comunicaciones
Adquisición, desarrollo y
mantenimiento de los SI
Relación con proveedores
Gestión de incidentes de SI
Aspectos de SI para la
gestión de la continuidad de
negocio
Cumplimiento
14 grupos
4 grupos
ORGANIZATIVOS
PERSONAL
SEGURIDAD FÍSICA
TECNOLOGÍA

www.intedya.com
Numeración
ANTES
A.O.C
AHORA
A.C
5.1.1
5 – Apartado: Políticas de seguridad de la información
5.1 – Objetivo: Proporcionar orientación y apoyo a la gestión de
seguridad de la información de acuerdo con los requisitos del
negocio, las leyes y normas pertinentes.
5.1.1 – Control: Un conjunto de políticas para la seguridad de la
información debería ser definido, aprobado por la dirección,
publicado y comunicado a los empleados y partes externas
relevantes.
5.1
5 – Apartado: Controles Organizacionales
5.1 – Control: La política de seguridad de la información y las
políticas específicas del tema deben ser definidas, aprobadas por la
gerencia, publicadas, comunicadas y reconocidas por el personal
relevante y las partes interesadas relevantes, y revisadas a intervalos
planificados y si ocurren cambios significativos.
OBJETIVO: Garantizar la idoneidad, adecuación, eficacia continuas de la dirección de gestión y el apoyo a la
seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios,
reglamentarios y contractuales.

www.intedya.com
CONTROL
OBJETIVO
GUÍA
Control
5.18
Derechos
de
Acceso
(Agrupa
9.2.2,
9.2.5,
9.2.6)

www.intedya.com
Tipo de
Control
Propiedades de SI
Conceptos de
Ciberseguridad
Capacidad Operativa
Dominios de
Seguridad
Preventivo
Detectivo
Correctivo
Confidencialidad
Integridad
Disponibilidad
Identificación
Protección
Detección
Respuesta
Recuperación
Gobernanza
Gestión Activos
Seguridad RRHH
Seguridad Física
Sistemas y redes
Seguridad de aplicaciones
Configuración segura
Gestión de acceso e identidad
Gestión de amenazas y vulnerabilidades
Continuidad
Seguridad en relaciones con proveedores
Cumplimiento legal
Eventos de seguridad de información
Garantía de seguridad de la información
Gobernanza
y Ecosistema
Protección
Defensa
Resiliencia
Descripción de controles

Tipo de Control
Este atributo puede ser utilizado como un medio para que la
organización verifique el balance de determinados controles; por
ejemplo, puede haber controles adecuados para detectar eventos de
seguridad de la información pero controles insuficientes para prevenir
incidentes de seguridad de la información.
El control actúa antes de
que se produzca una
amenaza
El control actúa cuando
se produce una amenaza
El control actúa después
de que se produce una
amenaza
Preventivo Correctivo
Detectivo

Propiedades de seguridad de la información
Este atributo se puede utilizar cuando la organización desea
comprender las propiedades de cada control, por ejemplo, si un
control contribuye a preservar toda la confidencialidad, integridad y
disponibilidad de la información o contribuye solo a una o dos de
estas propiedades.
CONFIDENCIALIDAD: Propiedad o característica consistente en que la información ni se
pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
DISPONIBILIDAD: Propiedad o característica de los activos de información consistente en
que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
INTEGRIDAD: Propiedad o característica consistente en que el activo de información no ha
sido alterado de manera no autorizada.

Conceptos de Ciberseguridad
Este atributo se puede utilizar en tal caso cuando la organización
establece tanto el sistema de gestión de seguridad de la información
(SGSI) como el marco de seguridad cibernética dentro de la organización,
y quiere ver la relevancia entre los controles del SGSI descritos en la
norma y los cinco conceptos del marco de seguridad cibernética.
Ayuda a desarrollar un entendimiento organizacional para administrar el riesgo de
ciberseguridad de los sistemas, las personas, los activos, los datos y las capacidades. La
comprensión del contexto empresarial, los recursos que respaldan las funciones críticas
y los riesgos relacionados con la ciberseguridad permiten que una organización se
centre y priorice sus esfuerzos, de acuerdo con su estrategia de administración de
riesgos y sus necesidades comerciales.
Identificación

Describe las medidas de seguridad adecuadas para garantizar la entrega de servicios de
las infraestructuras críticas. Esta función contempla la capacidad de limitar o contener
el impacto de un potencial evento de ciberseguridad.
Protección
Define las actividades necesarias para identificar la ocurrencia de un evento de
ciberseguridad, permitiendo el descubrimiento oportuno de los mismos.
Detección

Incluye actividades necesarias para tomar medidas con respecto a un incidente de
ciberseguridad detectado, desarrollando la capacidad de contener el impacto de un
potencial incidente.
Respuesta
Identifica las actividades necesarias para mantener los planes de resiliencia y para
restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente
de ciberseguridad. Esta función es compatible con la recuperación oportuna de las
operaciones normales para reducir el impacto de un incidente de ciberseguridad.
Recuperación

www.intedya.com
Capacidad Operativa
Este atributo se puede utilizar cuando la organización desea clasificar los
controles desde la perspectiva del profesional; por ejemplo, cuando la
organización desea asignar departamentos responsables dentro de la
organización en función de estos valores de atributo.
Gobernanza
Gestión Activos
Seguridad RRHH
Seguridad Física
Sistemas y redes
Seguridad de aplicaciones
Configuración segura
Gestión de acceso e identidad
Gestión de amenazas y
vulnerabilidades
Continuidad
Seguridad en relaciones con
proveedores
Cumplimiento legal
Eventos de seguridad de
información
Garantía de seguridad de la
información

Dominios de Seguridad
Este atributo se puede utilizar cuando la organización desea clasificar
los controles desde la perspectiva de los dominios, la experiencia, los
servicios y los productos de seguridad de la información.
Gobernanza
Protección
Defensa
Resiliencia

www.intedya.com
8.1 Dispositivos de punto final de
usuario
6.2.1 Política de dispositivos móviles
11.2.8 Equipo de usuario desatendido
5.1 Políticas de seguridad de la
información
5.1.1 Políticas para la seguridad de la
información
5.1.2 Revisión de las políticas para la
seguridad de la información
5.10 Uso aceptable de la información
y activos asociados
8.1.3 Uso aceptable de los activos
8.2.3 Manipulación de la información
5.9 Inventario de información y otros
activos asociados
8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
7.10 Medios de almacenamiento
8.3.1 Gestión de soportes extraibles
8.3.2 Eliminación de soportes
8.3.3 Soportes físico en transito
11.2.5 Eliminación de activos
5.15 Control de accesos
9.1.1 Política de control de acceso
9.1.2 Acceso a las redes y a servicios de red
Nueva agrupación de controles

www.intedya.com
8.15 Registro
12.4.1 Registro de evento
12.4.2 Protección de la información del
registro
12.4.3 Registros de administración y
operación
8.31 Separación de ambientes de
desarrollo, prueba y producción
12.1.4 Separación de los recursos de
desarrollo, prueba y operación
14.2.6 Entorno de desarrollo seguro
7.2 Controles de entrada física
11.1.2 Controles físicos de entrada
11.1.6 Áreas de carga y descarga
8.24 Uso de criptografía
10.1.1 Política de uso de los controles
criptográficos
10.1.2 Gestión de claves
5.17 Información de autenticación
9.2.4 Gestión de la información secreta de
autenticación de los usuarios
9.3.1 Uso de la información secreta de
autenticación
9.4.3 Restricción del acceso a la información
5.18 Derechos de acceso
9.2.2 Provisión de acceso de usuario
9.2.5 Revisión de los derechos de acceso de
usuario
9.2.6 Retirada o reasignación de los derechos
de acceso

www.intedya.com
8.29 de Pruebas de seguridad en el
desarrollo y aceptación
14.2.8 Pruebas funcionales de seguridad de
sistemas
14.2.9 Pruebas de aceptación de sistemas
8.26 Requisitos de seguridad en
aplicaciones
14.1.2 Asegurar los servicios de aplicaciones
en redes públicas
14.1.3 Protección de las transacciones de
servicios de aplicaciones
8.8 Gestión de vulnerabilidades
técnicas
12.6.1 Gestión de las vulnerabilidades
técnica
18.2.3 Comprobación del cumplimiento
técnico
8.19 Instalación de software en
sistemas operativos
12.5.1 Instalación del software en explotación
12.6.2 Restricción en la instalación de
software
8.32 Gestión del Cambio
12.1.2 Gestión de cambios
14.2.2 Procedimiento de control de cambios
en sistemas
14.2.3 Revisión técnica de las aplicaciones
tras efectuar cambios en el sistema
operativo
14.2.4 Restricciones a los cambios en los
paquetes de software
5.14 Transferencia de información
13.2.1 Políticas y procedimientos de
intercambio de información
13.2.2 Acuerdos de intercambio de
información
13.2.3 Mensajería electrónica

www.intedya.com
6.8 Informe de eventos de seguridad
de la información
16.1.2 Notificación de los eventos de
16.1.3 Notificación de puntos débiles de la
seguridad
5.22 Seguimiento, revisión y gestión
del cambio con proveedores de servicio
15.2.1Control y revisión de la provisión de
servicios del proveedor
15.2.2 Gestión de cambios en la provisión del
servicio del proveedor
5.31 Identificación de requisitos
legales, estatutarios, regulatorios y
contractuales
18.1.1 Identificación de la legislación
aplicable y de los requisitos contractuales
18.1.5 Regulación de los controles
criptográficos
5.29 Seguridad de la información
durante la interrupción
17.1.1 Planificación de la continuidad de la
17.1.2 Implementar la continuidad de la
17.1.3 Verificación, revisión y evaluación de la
continuidad de la seguridad de la información
5.36 Cumplimiento con políticas y
estándares para la seguridad de la
información
18.2.2 Cumplimiento de las políticas y normas
de seguridad
18.2.3 Comprobación del cumplimiento técnico
5.8 Seguridad de la información en la
gestión de proyectos
6.1.5 Seguridad de la información en la
gestión de proyectos
14.1.1 Análisis y especificación de
requisitos de seguridad de la información

Controles eliminados Cambios en controles existentes
No existe una eliminación de controles como tal, realmente
se integran en otros controles de forma directa o indirecta
 +114 controles ISO 27002:2013
 + 24 agrupaciones ISO 27002:2022
 + 11 nuevos controles ISO 27002:2022
 - 56 controles agrupados
CONTROLES
114 93

www.intedya.com
La información relacionada con
las amenazas a la seguridad
de la información debe
recopilarse y analizarse para
generar información sobre
amenazas.
5.7 Inteligencia de amenazas
Nuevos controles
Control
Objetivo
Proporcionar conciencia del
entorno de amenazas de la
organización para que se
puedan tomar las medidas de
mitigación adecuadas.

www.intedya.com
Guía de aplicación
 Recopilamos y analizamos información sobre amenazas existentes o emergentes para
implementar acciones dirigidas a evitar que las amenazas se materialicen y para
reducir el impacto en caso de que lo hagan.
 Dividimos la inteligencia de las amenazas en 3 capas:
 ESTRATÉGICA: intercambio de información de alto nivel sobre el cambiante panorama de amenazas
(ej. tipos de atacantes o tipos de ataques);
 TÁCTICA: información sobre las metodologías, herramientas y tecnologías del atacante;
 OPERATIVA: detalles sobre ataques específicos, incluidos indicadores técnicos.
 La inteligencia de amenazas debe ser:
a) Relevante, es decir, relacionado con la protección de la organización;
b) Perspicaz, es decir, proporcionar a la organización una comprensión precisa y detallada del panorama
de amenazas;
c) Contextual, para brindar conciencia situacional, es decir, agregar contexto a la información en función
del momento de los eventos, dónde ocurren, experiencias previas y prevalencia en organizaciones
similares;
d) Procesable, es decir, la organización puede actuar sobre la información de manera rápida y efectiva.

www.intedya.com
 Actividades que debemos incluir en la inteligencia de amenazas:
1. Establecer objetivos para la producción de inteligencia sobre amenazas;
2. Identificar, examinar y seleccionar fuentes de información internas y externas que sean necesarias y
apropiadas para proporcionar la información requerida para la producción de inteligencia sobre
amenazas;
3. Recopilar información de fuentes seleccionadas, que pueden ser internas y externas;
4. Procesar la información recopilada para prepararla para el análisis (ej. traduciendo, formateando o
corroborando la información);
5. Analizar la información para comprender cómo se relaciona con la organización;
6. Comunicar y compartir con personas relevantes en un formato que pueda ser entendido.
 Debemos utilizar la inteligencia de amenazas analizada como entrada en la gestión de
riesgos de la organización, en los controles técnicos (ej. firewalls, sistema de
detección de intrusos o soluciones antimalware) y en las pruebas de seguridad de la
información.
Las organizaciones deben compartir la inteligencia sobre amenazas con otras
organizaciones de forma mutua para mejorar la inteligencia general sobre amenazas

www.intedya.com
5.23 Seguridad de la información para el uso de servicios en la nube
Nuevos controles
Los procesos de adquisición,
uso, gestión y salida de los
servicios en la nube deben
establecerse de acuerdo con los
requisitos de seguridad de la
información de la organización.
Control
Objetivo
Especificar y administrar la
para el uso de servicios en la
nube.

www.intedya.com
 La organización debe establecer y comunicar una política específica para
el uso de servicios en la nube a todas las partes interesadas relevantes y
definir y comunicar cómo pretende gestionar los riesgos de seguridad de
la información asociados con el uso de servicios en la nube.
5.23 Seguridad de la información para el uso de
servicios en la nube
 En el uso de servicios en la nube se puede compartir responsabilidad sobre la seguridad de la información entre el
proveedor del servicio en la nube y la organización
 Es esencial que las responsabilidades del proveedor de servicios en la nube y de la organización queden definidas
 La organización debe definir:
a) Los requisitos de seguridad de la información asociados al uso de los servicios en la nube;
b) Criterios de selección del servicio en la nube y alcance del uso del servicio en la nube;
c) Funciones y responsabilidades relacionadas con el uso y la gestión de los servicios en la nube;
d) Controles de seguridad de la información gestionados por el proveedor y por la organización;
e) Cómo obtener y utilizar las capacidades de seguridad de la información aportadas por el proveedor;
f) Cómo obtener garantías sobre los controles implementados por los proveedores;
g) Cómo administrar los controles, las interfaces y los cambios en los servicios en la nube;
h) Procedimientos para el manejo de incidentes de seguridad en relación con los servicios en la nube;
i) El enfoque para monitorear, revisar y evaluar el uso continuo de los servicios en la nube;
j) Cómo cambiar o detener el uso de los servicios en la nube.

www.intedya.com
 Un acuerdo entre el proveedor de servicios en la nube y la organización debe incluir las
siguientes disposiciones para la protección de los datos y la disponibilidad de los
servicios:
a) Soluciones basadas en estándares aceptados por la industria para arquitectura e infraestructura;
b) Administrar los controles de acceso del servicio en la nube para cumplir con los requisitos de la
organización;
c) Implementar soluciones de protección y monitoreo de malware;
d) Procesar y almacenar la información confidencial de la organización en ubicaciones aprobadas (ej. un país o
una región en particular);
e) Brindar soporte dedicado en caso de incidente de seguridad de la información en el servicio en la nube;
f) Garantizar que se cumplan los requisitos de seguridad de la información de la organización en caso de que
se subcontraten servicios en la nube a proveedor externo (o prohibir la subcontratación de servicios en la
nube);
g) Apoyar a la organización en la recopilación de evidencia digital, teniendo en cuenta las leyes y regulaciones
para evidencia digital en diferentes jurisdicciones;
h) Proporcionar soporte y disponibilidad de servicios apropiados durante un período de tiempo apropiado
cuando la organización desea salir del servicio en la nube;
i) Proporcionar la copia de seguridad necesaria de los datos y la información de configuración y gestionar de
forma segura las copias de seguridad;
j) Proporcionar y devolver información como archivos de configuración, código fuente y datos que son
propiedad de la organización, cuando se solicite durante la prestación del servicio o al finalizar el servicio.

www.intedya.com
 La organización debe considerar si el acuerdo debe exigir a los proveedores de
servicios en la nube que proporcionen una notificación previa antes de que se
realicen cambios sustanciales que afecten al cliente en la forma en que se
entrega el servicio a la organización (ej. reubicación, reconfiguración, cambios de
hardware o software, almacenamiento en otra jurisdicción o subcontrataciones).
 La organización debe mantener un estrecho contacto con sus proveedores de
servicios en la nube, intercambiando información mutuamente sobre la
seguridad de la información para el uso de los servicios en la nube, incluido un
mecanismo de monitorización de cada característica del servicio y de información
de los incumplimientos de los compromisos contenidos en el acuerdos.

www.intedya.com
5.30 Preparación de las TIC para la continuidad del negocio
Nuevos controles
La preparación de las TIC debe
planificarse, implementarse,
mantenerse y probarse en
función de los objetivos de
continuidad del negocio y los
requisitos de continuidad de las
TIC.
Control
Objetivo
Para garantizar la
disponibilidad de la
información de la organización
y otros activos asociados
durante la interrupción.
.

www.intedya.com
 Los requisitos de continuidad de las TIC son el resultado del análisis de impacto (BIA),
evaluando los impactos a lo largo del tiempo que resultan de la interrupción de las actividades.
La magnitud y la duración del impacto resultante deben usarse para identificar actividades
prioritarias a las que se les debe asignar un objetivo de tiempo de recuperación (RTO).
 El BIA relacionado con los servicios de TIC se puede ampliar para definir los requisitos de
rendimiento y capacidad de los sistemas de TIC y los objetivos de punto de recuperación (RPO)
de la información necesaria para respaldar las actividades durante la interrupción.
 Con base en los resultados del BIA y la evaluación de riesgos relacionados con los servicios de
TIC, la organización debe identificar y seleccionar estrategias de continuidad de las TIC que
consideren opciones para antes, durante y después de la interrupción. Con base en estas
estrategias, los planes deben desarrollarse, implementarse y probarse para cumplir con el nivel
de disponibilidad requerido de los servicios de TIC y en los plazos requeridos luego de la
interrupción.
5.30 Preparación de las TIC para la continuidad del
negocio
La preparación de las TIC para la continuidad del negocio es un componente importante en la
gestión de la continuidad del negocio y la gestión de la seguridad de la información para
garantizar que los objetivos de la organización puedan seguir cumpliéndose durante la
interrupción.

www.intedya.com
 La organización debe asegurarse de que:
a) Existe una estructura organizativa adecuada para prepararse, mitigar y responder a una
interrupción con el apoyo de personal con la responsabilidad, autoridad y competencia
necesarias;
b) Los planes de continuidad de las TIC, incluidos los procedimientos de respuesta y
recuperación que detallan cómo la organización planea gestionar una interrupción del
servicio de TIC, son:
1. Evaluado regularmente a través de ejercicios y pruebas;
2. Aprobado por la gerencia;
c) Los planes de continuidad TIC incluyen la siguiente información de continuidad TIC:
1. Especificaciones de rendimiento y capacidad para cumplir con los requisitos y
objetivos de continuidad del negocio;
2. RTO de cada servicio TIC priorizado y los procedimientos para restaurar esos
componentes;
3. RPO de los recursos TIC priorizados definidos como información y los
procedimientos para restaurar la información.
5.30 Preparación de las TIC para la continuidad del
negocio

www.intedya.com
7.4 Vigilancia de la seguridad física
Nuevos controles
Las instalaciones deben ser
monitorizadas continuamente
para detectar accesos físicos no
autorizados.
Control
Objetivo
Para detectar y disuadir el
acceso físico no autorizado.

www.intedya.com
 El acceso a los edificios que albergan sistemas críticos debe monitorizarse de forma
continua para detectar accesos no autorizados o comportamientos sospechosos
mediante:
a) Instalación de sistemas de vigilancia por video, como un circuito cerrado de televisión, para ver y registrar
el acceso a áreas sensibles dentro y fuera de las instalaciones de una organización;
b) Instalación, de acuerdo con las normas pertinentes aplicables, y prueba periódica de detectores de
contacto, sonido o movimiento para activar una alarma de intrusión, tales como:
c) Usar esas alarmas para cubrir todas las puertas exteriores y ventanas accesibles. Las áreas desocupadas
deben estar alarmadas en todo momento.
Las instalaciones físicas deben ser monitorizadas por sistemas de vigilancia como
guardias, alarmas contra intrusos, sistemas de monitorización de video y software
de gestión de información de seguridad física, ya sea administrado internamente o
por un proveedor de servicios de monitorización.

www.intedya.com
 El diseño de los sistemas de monitorización debe ser confidencial porque la divulgación
puede facilitar robos no detectados.
 Los sistemas de monitorización deben protegerse contra el acceso no autorizado para
evitar que personas no autorizadas accedan a la información de vigilancia, como
transmisiones de video, o que los sistemas se deshabiliten de forma remota.
 El panel de control del sistema de alarma debe colocarse en una zona de alarma y, para
las alarmas de seguridad, en un lugar que permita una ruta de salida fácil para la persona
que activa la alarma. El panel de control y los detectores deben tener mecanismos a
prueba de manipulaciones. El sistema debe probarse periódicamente para asegurarse de
que funciona según lo previsto, especialmente si sus componentes funcionan con
baterías.
 Cualquier mecanismo de monitorización y grabación debe usarse teniendo en cuenta las
leyes y regulaciones locales, incluida la legislación de protección de datos.

www.intedya.com
8.9 Gestión de la configuración
Nuevos controles
Las configuraciones, incluidas
las configuraciones de
seguridad, de hardware,
software, servicios y redes
deben establecerse,
documentarse, implementarse,
monitorizarse y revisarse.
Control
Objetivo
Para garantizar que el
hardware, el software, los
servicios y las redes funcionen
correctamente con la
configuración de seguridad
requerida, y que la
configuración no se altere por
cambios no autorizados o
incorrectos.

www.intedya.com
La organización debe definir e implementar procesos y herramientas para hacer cumplir las
configuraciones definidas para el hardware, el software, los servicios y las redes, tanto para
los sistemas recién instalados como para los sistemas operativos durante su vida útil, y definir
roles, responsabilidades y procedimientos para garantizar el control.
Plantillas estándar
 Deben definirse plantillas estándar para la configuración segura de hardware, software,
servicios y redes:
a) Usar orientación disponible públicamente (ej. plantillas predefinidas de proveedores y de organizaciones de
seguridad independientes);
b) Considerar el nivel de protección necesario para determinar un nivel suficiente de seguridad;
c) Respaldar la política de seguridad de la información de la organización, las políticas específicas del tema, las
normas y otros requisitos de seguridad;
d) Considerar la factibilidad y aplicabilidad de las configuraciones de seguridad en el contexto de la organización.
 Las plantillas deben revisarse periódicamente y actualizarse cuando sea necesario abordar
nuevas amenazas o vulnerabilidades, o cuando se introduzcan nuevas versiones de
software o hardware.

www.intedya.com
Para la configuración segura de hardware, software, servicios y redes debemos considerar:
1. Minimizar el número de identidades con derechos de acceso de nivel administrador;
2. Deshabilitar identidades innecesarias, no utilizadas o inseguras, así como funciones y servicios innecesarios;
3. Restringir el acceso a programas de utilidades y sincronizar relojes
4. Cambiar la información de autenticación predeterminada del proveedor;
5. Configurar cierre automático de sesión de dispositivos informáticos después de un período de inactividad;
6. Verificar que se hayan cumplido los requisitos de la licencia.
Administrar configuraciones
 Las configuraciones establecidas de hardware, software, servicios y redes (y sus
cambios) deben registrarse de forma segura y monitorizarse con herramientas de
administración del sistema (ej. utilidades de mantenimiento, soporte remoto,
herramientas de administración empresarial, software de copia de seguridad y
restauración), siempre con revisión periódica.
 Los registros de configuración pueden contener según corresponda:
1. Información actualizada del propietario o punto de contacto del activo;
2. Fecha del último cambio de configuración;
3. Versión de la plantilla de configuración;
4. Relación con configuraciones de otros activos.

www.intedya.com
8.10 Eliminación de información
Nuevos controles
La información almacenada en
sistemas de información,
dispositivos o en cualquier otro
medio de almacenamiento debe
ser eliminada cuando ya no sea
necesaria.
Control
Objetivo
Para evitar la exposición
innecesaria de información
confidencial y cumplir con los
requisitos legales,
estatutarios, reglamentarios y
contractuales para la
eliminación de información.

www.intedya.com
General
 La información confidencial no debe conservarse más tiempo del necesario para
reducir el riesgo de divulgación no deseada.
 Al eliminar información sobre sistemas, aplicaciones y servicios, se debe
considerar lo siguiente:
a) Seleccionar un método de eliminación (ej. sobrescritura electrónica o borrado criptográfico) de
acuerdo con los requisitos comerciales y teniendo en cuenta las leyes y reglamentos pertinentes;
b) Registrar los resultados de la eliminación como prueba;
c) Al utilizar proveedores de servicios de eliminación de información, obtener evidencia de la
eliminación de información de ellos.
 Cuando terceros almacenen la información de la organización en su nombre, la
organización debe considerar la inclusión de requisitos sobre la eliminación de
información en los acuerdos de terceros para hacerlos cumplir durante y después
de la finalización de dichos servicios.
8.10 Eliminación de la información

www.intedya.com
Métodos de eliminación
 De acuerdo con la política de retención de datos específica del tema de la
organización y teniendo en cuenta la legislación y las reglamentaciones
pertinentes, la información confidencial debe eliminarse cuando ya no se
necesite:
a) Configurar sistemas para destruir información de forma segura cuando ya no se necesite (ej.
después de un período definido sujeto a la política específica del tema sobre retención de datos o
por solicitud de acceso del sujeto);
b) Eliminar versiones obsoletas, copias y archivos temporales dondequiera que se encuentren;
c) Usar un software de eliminación seguro y aprobado para eliminar información de forma
permanente de forma que la información no se pueda recuperar mediante el uso de herramientas
forenses o de recuperación especializadas;
d) Usar proveedores aprobados y certificados de servicios de eliminación segura;
e) Utilizar mecanismos de eliminación apropiados para el tipo de medio de almacenamiento que se
va a eliminar (ej. desmagnetización de unidades de disco duro y otros medios de almacenamiento
magnético).

www.intedya.com
 Cuando se utilizan servicios en la nube, la organización debe verificar si el método de
eliminación proporcionado por el proveedor de servicios en la nube es aceptable y, de ser así,
la organización debe usarlo o solicitar que el proveedor de servicios en la nube elimine la
información.
 Para evitar la exposición involuntaria de información confidencial cuando el equipo se
devuelve a los proveedores, la información confidencial debe protegerse eliminando los
almacenamientos auxiliares (ej. unidades de disco duro) y la memoria antes de que el equipo
abandone las instalaciones de la organización.
 Teniendo en cuenta que la eliminación segura de algunos dispositivos (ej. teléfonos
inteligentes) solo se puede lograr mediante la destrucción o el uso de las funciones integradas
en estos dispositivos (ej. "restaurar la configuración de fábrica"), la organización debe elegir el
método apropiado de acuerdo con la clasificación de la información manejada por esos
dispositivos.

www.intedya.com
8.11 Enmascaramiento de datos
Nuevos controles
El enmascaramiento de datos se
debe utilizar de acuerdo con la
política específica del tema de la
organización sobre el control de
acceso y otros requisitos comerciales
y específicos del tema relacionados,
teniendo en cuenta la legislación
aplicable.
Control
Objetivo
Para limitar la exposición de
datos confidenciales, incluida
la información de
identificación personal, y para
cumplir con los requisitos
legales, estatutarios,
reglamentarios y
contractuales.

www.intedya.com
 Cuando la protección de datos confidenciales (ej. PII) sea una preocupación, las
organizaciones deberían considerar ocultar dichos datos mediante el uso de
técnicas como el enmascaramiento de datos, la seudonimización o la
anonimización.
 Las técnicas de seudonimización o anonimización pueden ocultar la PII, disfrazar
la verdadera identidad de los titulares de la PII u otra información confidencial, y
desconectar el vínculo entre la PII y la identidad del titular de la PII o el vínculo
entre otra información confidencial.
 La anonimización de datos debe considerar todos los elementos de la
información sensible para ser efectiva (ej. si no se considera adecuadamente,
una persona puede ser identificada incluso si los datos que pueden identificarla
directamente se anonimizan, por la presencia de otros datos que permiten
identificar a la persona indirectamente).

www.intedya.com
 Las técnicas adicionales para el enmascaramiento de datos incluyen:
a) Encriptación (que requiere que los usuarios autorizados tengan una clave);
b) Anular o eliminar caracteres (evitando que los usuarios no autorizados vean los mensajes completos);
c) Números y fechas variables;
d) Sustitución (cambiar un valor por otro para ocultar datos sensibles);
e) Reemplazar valores con su hash.
 Se debe considerar lo siguiente al implementar técnicas de enmascaramiento de datos:
 No otorgar a todos los usuarios acceso a todos los datos, por lo tanto, diseñar consultas y máscaras para
mostrar solo los datos mínimos requeridos al usuario;
 En casos en los que algunos datos no deberían ser visibles para el usuario para algunos registros de un
conjunto de datos; en este caso, diseñar e implementar un mecanismo para la ofuscación de datos (ej. si un
paciente no quiere que el personal del hospital pueda ver todos sus registros, incluso en caso de
emergencia, entonces el personal del hospital recibe datos parcialmente ofuscados y los datos solo pueden
ser accedidos por personal con roles específicos si contienen información útil para un tratamiento
adecuado);
 Cuando los datos están ofuscados, dando al director de PII la posibilidad de exigir que los usuarios no
puedan ver si los datos están ofuscados (ofuscación de la ofuscación; esto se usa en instalaciones de salud,
por ejemplo si el paciente no quiere que el personal vea que se ha ofuscado información confidencial,
como embarazos o resultados de análisis de sangre);
 Cualquier requisito legal o reglamentario (ej. exigir el enmascaramiento de la información de las tarjetas de
pago durante el procesamiento o el almacenamiento)

www.intedya.com
 Se debe tener en cuenta lo siguiente al utilizar el enmascaramiento de datos, la
seudonimización o la anonimización:
a) Nivel de fuerza del enmascaramiento de datos, seudonimización o anonimización según el uso
de los datos procesados;
b) Controles de acceso a los datos procesados;
c) Acuerdos o restricciones en el uso de los datos procesados;
d) Prohibir cotejar los datos procesados con otra información para identificar al principal de la PII;
e) Realizar un seguimiento del suministro y recepción de los datos tratados.
La anonimización altera irreversiblemente la PII de tal manera que el principal de la PII ya no se puede identificar
directa o indirectamente.
La seudonimización reemplaza la información de identificación con un alias. El conocimiento del algoritmo (a veces
denominado "información adicional") utilizado para realizar la seudonimización permite al menos alguna forma de
identificación del principal de PII. Por lo tanto, dicha “información adicional” debe mantenerse separada y protegida.
Si bien la seudonimización es, por lo tanto, más débil que la anonimización, los conjuntos de datos seudonimizados
pueden ser más útiles en la investigación estadística.

www.intedya.com
8.12 Prevención de fuga de datos
Nuevos controles
Las medidas de prevención de
fuga de datos deben aplicarse a
los sistemas, redes y cualquier
otro dispositivo que procese,
almacene o transmita
información confidencial.
Control
Objetivo
Para detectar y prevenir la
divulgación y extracción no
autorizada de información por
parte de personas o sistemas.

www.intedya.com
 La organización debería considerar lo siguiente para reducir el riesgo de fuga
de datos:
a) Identificar y clasificar la información para protegerla contra fugas (ej. información personal,
modelos de precios y diseños de productos);
b) Monitorizar los canales de fuga de datos (ej. correo electrónico, transferencias de archivos,
dispositivos móviles y dispositivos portátiles de almacenamiento);
c) Actuar para evitar que se filtre información (ej. poner en cuarentena los correos electrónicos
que contengan información confidencial).
 Las herramientas de prevención de fuga de datos deben utilizarse para:
 Identificar y monitorizar información sensible en riesgo de divulgación no autorizada;
 Detectar la divulgación de información confidencial (ej. cuando la información se carga en
servicios en la nube de terceros no confiables o se envía por correo electrónico);
 Bloquear las acciones de los usuarios o las transmisiones de la red que expongan información
confidencial (ej. impedir que se copien las entradas de la base de datos en una hoja de
cálculo).

www.intedya.com
 La organización debe determinar si es necesario restringir la capacidad de un usuario para
copiar y pegar o cargar datos en servicios, dispositivos y medios de almacenamiento fuera
de la organización. En ese caso, la organización debe implementar herramientas de
prevención de fuga de datos o permitir a los usuarios ver y manipular datos almacenados de
forma remota pero evitar copiar y pegar fuera del control de la organización.
 Si se requiere la exportación de datos, se debe permitir que el propietario de los datos
apruebe la exportación y responsabilice a los usuarios por sus acciones.
 Cuando se realiza una copia de seguridad de los datos, se debe tener cuidado para
garantizar que la información confidencial esté protegida mediante medidas como el
cifrado, el control de acceso y la protección física de los medios de almacenamiento que
contienen la copia de seguridad.
 También se debe considerar la prevención de fuga de datos para protegerse contra las
acciones de inteligencia de un adversario para obtener información confidencial o secreta
que pueda ser de interés para el espionaje o pueda ser crítica para la comunidad.

www.intedya.com
8.16 Actividades de seguimiento
Nuevos controles
Las redes, los sistemas y las
aplicaciones deben monitorizarse
para detectar comportamientos
anómalos y deben tomarse las
medidas apropiadas para evaluar
posibles incidentes de seguridad de
la información.
Control
Objetivo
Para detectar
comportamientos anómalos y
posibles incidentes de
seguridad de la información.

www.intedya.com
 El alcance y el nivel de monitorización deben determinarse de acuerdo con los
requisitos de seguridad de la información y del negocio y teniendo en cuenta las
leyes y regulaciones pertinentes, manteniendo registros de seguimiento durante
los períodos de retención definidos.
 Debemos considerar los siguientes aspectos para su inclusión dentro del sistema
de monitorización:
a) Tráfico de red, sistema y aplicación entrante y saliente;
b) Acceso a sistemas, servidores, equipos de red, sistema de monitoreo, aplicaciones críticas, etc.
c) Archivos de configuración de red y sistema de nivel crítico o administrativo;
d) Registros de herramientas de seguridad (ej. antivirus, sistema de prevención de intrusiones (IPS),
filtros web, cortafuegos, prevención de fuga de datos);
e) Registros de eventos relacionados con la actividad del sistema y de la red;
f) Comprobar que el código que se ejecuta está autorizado para ejecutarse en el sistema y que no ha
sido alterado;
g) Uso de los recursos (ej. CPU, discos duros, memoria, ancho de banda) y su rendimiento.

www.intedya.com
 La organización debe establecer una línea de base de comportamiento normal (y
monitorizar contra esta línea de base) para detectar anomalías, considerando la
utilización de los sistemas en períodos normales y pico y hora habitual de acceso, lugar de
acceso y frecuencia de acceso para cada usuario o grupo de usuarios.
Comportamientos anómalos a identificar:
 Terminación no planificada de procesos o aplicaciones;
 Actividad asociada con malware o tráfico que se origina en direcciones IP o dominios de
red maliciosos conocidos;
 Características de ataque conocidas (ej. denegación de servicio);
 Comportamiento inusual del sistema (ej. registro de pulsaciones de teclas);
 Cuellos de botella y sobrecargas (ej. colas de la red, niveles de latencia y fluctuaciones
red);
 Acceso no autorizado (real o intentado) a sistemas o información;
 Escaneo no autorizado de aplicaciones comerciales, sistemas y redes;
 Intentos exitosos y fallidos de acceder a recursos protegidos (ej. servidores DNS, portales
web y sistemas de archivos);
 Comportamiento inusual de usuario o sistema en relación con el comportamiento
esperado.

www.intedya.com
 La monitorización debe hacerse en tiempo real o en intervalos periódicos, sujeto a las
necesidades y capacidades de la organización. Las herramientas de monitorización
deben incluir la capacidad de manejar grandes cantidades de datos, adaptarse a un
panorama de amenazas en constante cambio y permitir la notificación en tiempo real.
Las herramientas también deberían poder reconocer firmas y datos específicos o
patrones de comportamiento de la red o la aplicación.
 El software de monitorización automatizado debe configurarse para generar alertas (ej
a través de consolas de administración, mensajes de correo electrónico o sistemas de
mensajería instantánea) en función de umbrales predefinidos, ajustándose para evitar
falsos positivos.
 Los eventos anormales deben comunicarse a las partes relevantes para mejorar las
actividades de auditoría, evaluación de seguridad, exploración y monitorización de
vulnerabilidades..

www.intedya.com
8.23 Filtrado web
Nuevos controles
El acceso a sitios web externos
debe administrarse para
reducir la exposición a
contenido malicioso.
Control
Objetivo
Para proteger los sistemas
contra el malware y evitar el
acceso a recursos web no
autorizados.

www.intedya.com
 La organización debe reducir los riesgos de que su personal acceda a sitios web que
contengan información ilegal o que se sepa que contienen virus o material de
phishing. Una técnica para lograr esto funciona bloqueando la dirección IP o el
dominio de los sitios web en cuestión. Algunos navegadores y tecnologías
antimalware hacen esto automáticamente o pueden configurarse para hacerlo.
8.23 Filtrado web
La organización debe identificar los tipos de sitios web a los que el personal
debe o no tener acceso, considerando bloqueo de acceso a estos tipos de
sitios web:
 Sitios web que tienen una función de carga de información a menos que esté permitido
por razones comerciales válidas;
 Sitios web maliciosos conocidos o sospechosos (ej. aquellos que distribuyen malware o
contenido de phishing);
 Servidores de mando y control;
 Sitio web malicioso adquirido de inteligencia de amenazas;
 Sitios web que comparten contenido ilegal.
Se debe brindar capacitación al personal sobre el uso seguro y apropiado de los recursos en línea, incluido el acceso a la
web, incluyendo las reglas de la organización, el punto de contacto para plantear problemas de seguridad y el proceso de
excepción cuando se necesita acceder a recursos web restringidos por razones comerciales legítimas.

www.intedya.com
8.28 Codificación segura
Nuevos controles
Los principios de
codificación segura deben
aplicarse al desarrollo de
software.
Control
Objetivo
Garantizar que el software se
escriba de forma segura,
reduciendo así la cantidad de
posibles vulnerabilidades de
seguridad de la información en
el software.

www.intedya.com
General
 La organización debe establecer procesos para proporcionar una buena gobernanza para la codificación segura,
estableciendo y aplicando una línea de base segura mínima (incluyendo software de terceros y software de código
abierto).
 La organización debe monitorizar las amenazas del mundo real y actualizar el asesoramiento y la información
sobre las vulnerabilidades del software para guiar los principios de codificación segura de la organización a través
de la mejora y el aprendizaje continuos.
Planificación y antes de codificar
 Los principios de codificación segura deben usarse tanto para nuevos
desarrollos como en escenarios de reutilización, incluyendo:
 Expectativas específicas de la organización y principios aprobados para la codificación segura;
 Prácticas y defectos de codificación comunes e históricos;
 Configurar herramientas de desarrollo para ayudar a hacer cumplir la creación de código seguro;
 Seguir la orientación de los proveedores de herramientas de desarrollo y entornos de ejecución;
 Mantenimiento y uso de herramientas de desarrollo actualizada;
 Normas de codificación seguras y, cuando corresponda, exigir su uso;
 Uso de ambientes controlados para el desarrollo.

www.intedya.com
Durante la codificación
 Las consideraciones durante la codificación deben incluir:
a) Prácticas de codificación seguras específicas para los lenguajes y técnicas de
programación utilizados;
b) Utilizar técnicas de programación seguras, como programación en pares, refactorización,
revisión por pares, iteraciones de seguridad y desarrollo basado en pruebas;
c) Utilizar técnicas de programación estructurada;
d) Documentar el código y eliminar los defectos de programación;
e) Prohibir el uso de técnicas de diseño inseguras (ej. el uso de contraseñas codificadas,
ejemplos de código no aprobados y servicios web no autenticados).
Las pruebas deben realizarse
durante y después del
desarrollo, además de antes de
que el software entre en
funcionamiento, debiendo
evaluar la superficie de ataque
(principio de mínimo privilegio)
y los errores de programación
más comunes.
Revisión y mantenimiento
 Después de que el código se haya hecho operativo:
a) Las actualizaciones deben empaquetarse e implementarse de forma segura;
b) Se deben manejar las vulnerabilidades de seguridad de la información informadas;
c) Los errores y los ataques sospechosos deben registrarse, revisando los registros periódicamente;
d) El código fuente debe protegerse contra el acceso no autorizado y la manipulación.
 Cuando sea necesario modificar un paquete de software, se deben considerar los siguientes puntos:
 El riesgo de que los controles incorporados y los procesos de integridad se vean comprometidos;
 Si se debe obtener el consentimiento del vendedor;
 La posibilidad de obtener los cambios necesarios del proveedor como actualizaciones estándar del programa;
 El impacto si la organización se hace responsable del mantenimiento futuro del software como resultado de los cambios;
 Compatibilidad con otro software en uso.

Recordemos…

Preguntas frecuentes
¿Qué ocurre si
estoy en
proceso de
implementación
de un SGSI ISO
27001 en este
momento?
¿Qué ocurre si
voy a iniciar la
implantación de
un SGSI el
próximo mes?
¿Qué ocurre si
ya estoy
certificado en
ISO 27001:2013?

Intedya - AspectosClavedelanuevaISO270022022.pdf

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Intedya - AspectosClavedelanuevaISO270022022.pdf

Similar a Intedya - AspectosClavedelanuevaISO270022022.pdf (20)

Último

Último (16)

Intedya - AspectosClavedelanuevaISO270022022.pdf