Controles Tecnológicos

Controles de la ISO/IEC 27001:2022 (IV). Controles tecnológicos parte II

Controles tecnológicos

Controles tecnológicos parte II

A lo largo de estas semanas hemos ido haciendo un recorrido por los cambios que la norma ISO 27001 experimentó en 2022, en concreto en torno al módulo encargado de los controles. En el artículo anterior vimos una relación de controles tecnológicos que decidimos dividir en dos partes dada su numerosa cuantía.

Debido a la importancia que la digitalización tiene a día de hoy, establecer unos parámetros para poder custodiar toda la información que se genera en una organización es esencial. A continuación, podrás encontrar otra lista de ellos y cerraremos así el ciclo de este recorrido:

  • Uso de programas de utilidad privilegiados

El uso de programas de utilidad que pueden anular el sistema y los controles de aplicación serán restringidos y estrictamente controlados.

  • Instalación de software

A continuación, se implantarán procedimientos y medidas para gestionar de forma segura la instalación de software en sistemas operativos.

  • Control de seguridad en redes

Así mismo, las redes y los dispositivos de red deben estar protegidos, gestionados y controlados para salvaguardar la información en los sistemas y aplicaciones.

  • Seguridad de los servicios de red

Por otro lado, los mecanismos de seguridad, niveles de servicio y requisitos de servicio de la red. Los servicios deben ser identificados, implementados y monitoreados.

Los acuerdos de confidencialidad o no divulgación que tiene la empresa deben revisarse y actualizarse periódicamente según #ISO27001

Click To Tweet

  • Segregación de redes

Además, los grupos de servicios de información, usuarios y sistemas de información deberán segregarse en las redes de la organización.

  • Control de filtrado web

El acceso a sitios web externos se gestionará para reducir la exposición a contenido malicioso.

  • Uso de criptografía

Reglas para el uso efectivo de la criptografía, incluida la clave criptográfica de gestión, debe ser definida e implementada.

  • Ciclo de vida de desarrollo seguro

Las reglas para el desarrollo seguro del software y sistemas deben ser establecido y aplicado.

  • Requisitos de seguridad de la aplicación

Los requisitos de seguridad de la información deben ser identificados, especificados y aprobados al desarrollar o adquirir aplicaciones.

  • Arquitectura del sistema seguro y principios de ingeniería

Se deben establecer, documentar y mantener. Serán aplicados a cualquier desarrollo de sistema de información referente a actividades.

  • Control de codificación segura

Los principios de codificación segura se aplicarán al desarrollo de software.

  • Pruebas de seguridad en desarrollo y aceptación

Los procesos de pruebas de seguridad se definirán e implementarán en el ciclo de vida del desarrollo.

  • Control de desarrollo subcontratado

La organización debe dirigir, monitorear y revisar las actividades relacionadas al desarrollo de sistemas subcontratados.

  • Separación del desarrollo, prueba y entornos de producción

Los entornos de desarrollo, prueba y producción deben estar separados y asegurados.

  • Control de gestión de cambios

Los cambios en las instalaciones de procesamiento de información y los sistemas de información estarán sujetos a los procedimientos de gestión de cambios.

  • Información de prueba

La información de las pruebas se seleccionará, protegerá y gestionará adecuadamente.

  • Protección de los sistemas de información durante las pruebas de auditoría

Incluirán pruebas de auditoría y otras actividades de aseguramiento que involucren la evaluación de los sistemas. Estos deben ser planificados y acordados por el auditor y manejarse apropiadamente. Además, es un paso clave dentro de los controles tecnológicos, ya que nos da una visión externa del funcionamiento del sistema.

 

Plataforma tecnológica para ISO/IEC 27001

Es fundamental contar con un sistema de gestión bien organizado, planificado y documentado para cumplir con todos los requisitos de la norma. En este sentido, la plataforma de gestión ISOTools puede ser de gran ayuda, ya que permite gestionar todos los procesos y tareas relacionados con la ISO 27001.

Con ISOTools, tú mismo puedes crear un repositorio de documentos en el que se almacenan todos los documentos relacionados con el sistema de gestión, que se encuentran disponibles en cualquier momento. Además, esta plataforma cuenta con la posibilidad de asignar roles y permisos específicos a los usuarios, lo que permite que las acciones se realicen de manera más eficiente y sin errores. En resumen, ISOTools es una herramienta útil que puede ayudar a las empresas a cumplir con los requisitos de la norma ISO/IEC 27001 de manera más eficiente y efectiva.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba