Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Los 11 nuevos controles de la ISO 27002:2022
La edición recientemente publicada de ISO/IEC 27002:2022 es la última actualización del catálogo principal de controles ISO 27002, oficialmente, un “conjunto de controles de referencia sobre seguridad de la información”.

Además de reestructurar y actualizar en general los controles de la segunda edición de 2013, el comité aprovechó la oportunidad para reforzar (por fin) la cobertura de la “Seguridad para la computación en la nube” con el nuevo control 5.23, además de otros diez controles nuevos, principalmente en la sección 8 (controles tecnológicos):
  • Inteligencia de amenazas (5.7): recopilar inteligencia relevante y procesable sobre las amenazas a la información, alimentándola en el proceso de gestión de riesgos de la información.
  • Preparación de las TIC para la continuidad del negocio (5.30): las organizaciones deben prepararse para manejar incidentes graves que afecten y/o involucren a las procesos críticos.
  • Supervisión de seguridad física (7.4): instalar alarmas contra intrusos, circuito cerrado de televisión, guardias, etc. para locales comerciales. Este es un control tan básico y común que no se puede creer que faltara en edición anterior.
  • Gestión de la configuración (8.9): se refiere a la necesidad de gestionar la seguridad y otros detalles de configuración para hardware, software, servicios y redes.
  • Eliminación de información (8.10): este es otro control “obvio” que indica que los datos deben eliminarse cuando ya no sean necesarios para evitar una divulgación innecesaria y por razones de cumplimiento. Sin embargo, los detalles finos sobre cómo se eliminan la información son importantes en la práctica.
  • Enmascaramiento de datos (8.11): de acuerdo con la política de control de acceso de la organización, además de otros requisitos comerciales y obligaciones de cumplimiento, los controles de seguridad son apropiados para mitigar el riesgo de revelar información personal confidencial.
  • Prevención de fuga de datos (8.12): se requiere DLP para proteger la información confidencial contra la divulgación y extracción no autorizada de datos (robo, vigilancia, etc.).
  • Actividades de monitoreo (8.16): las “anomalías” en las redes, sistemas y aplicaciones de TI deben detectarse y responderse para mitigar los riesgos asociados.
  • Filtrado web (8.23): limitar el acceso a sitios web inapropiado o riesgoso es, aparentemente, un control de seguridad de la información lo suficientemente importante como para justificar su inclusión en la tercera edición.
  • Codificación segura (8.28): el software debe estar diseñado y programado de forma segura, reduciendo el número y la gravedad de las vulnerabilidades explotables que surgen de fallas de diseño y los errores de programación. Este control está casi completamente dirigido al principio de ‘seguro por diseño’.
Este nuevo estándar revisado es bastante débil en cuanto a la seguridad en Internet de las Cosas (IoT), lo que no sorprende dado que este campo aún es inmaduro. Las cosas de la IoT proliferan tan rápidamente y la tecnología es tan limitada en términos de procesamiento, almacenamiento y otras capacidades, que los controles de seguridad de la información son problemáticos.

¿Quieres saber cuales son los nuevos controles de la ISO 27002:2022?

Descarga la lista de controles de la norma (XLS) y su relación con la versión 2013

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]
Norma ISO/IEC 27002:2022

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor