Publicado el

Análisis de los nuevos controles ISO 27001:2022

A partir de esta semana publicaremos el análisis en profundidad sobre los nuevos 11 controles exigidos por la norma ISO 27001:2022.

A.5.7 Información sobre amenazas
A.5.23 Seguridad de la información para el uso de servicios en la nube
A.5.30 Preparación TIC para la continuidad del negocio
A.7.4 Vigilancia de la seguridad física
A.8.9 Gestión de la configuración
A.8.10 Eliminación de información
A.8.11 Enmascaramiento de datos
A.8.12 Prevención de pérdida de datos
A.8.16 Actividades de seguimiento
A.8.23 Filtrado de la Web
A.8.28 Codificación segura

Estos controles no son obligatorios: ISO 27001 le permite excluir un control si (1) no ha identificado los riesgos relacionados y (2) no existen requisitos legales/reglamentarios/contractuales para implementar ese control en particular.

A.5.7 Información sobre amenazas
Descripción. Este control requiere que recopiles información sobre las amenazas y las analices para poder tomar las medidas de mitigación adecuadas. Esta información puede estar relacionada con ataques, métodos y tecnologías particulares utilizados por los atacantes y/o tendencias de ataques. Necesitamos recopilar esta información internamente, así como de fuentes externas, como informes de proveedores, anuncios de agencias gubernamentales, etc.

Tecnología. Las empresas más pequeñas probablemente no necesiten ninguna tecnología nueva relacionada con este control; Más bien, deberán descubrir cómo extraer inteligencia de amenazas de sus sistemas existentes. Si aún no tienen uno, las empresas más grandes deberán adquirir un sistema que les avise de nuevas amenazas (así como de vulnerabilidades e incidentes). Las empresas de todos los tamaños necesitarán usar inteligencia de amenazas para fortalecer sus sistemas.

Organización/procesos. Debe configurar procesos en torno a la recopilación y el uso de inteligencia de amenazas para introducir controles preventivos en los sistemas de TI, mejorar la evaluación de riesgos e introducir nuevos métodos para las pruebas de seguridad.

Gente. Concientice a los empleados sobre la importancia de enviar notificaciones de amenazas y capacítelos sobre cómo y a quién deben comunicarse estas amenazas.

Documentación. ISO 27001 no requiere documentación; Sin embargo, puede incluir reglas de inteligencia de amenazas en los siguientes documentos:

Política de seguridad del proveedor: defina cómo se comunica la información sobre amenazas entre la empresa y sus proveedores y socios.
Proceso de gestión de incidentes: defina cómo se comunica internamente la información sobre amenazas dentro de la empresa.
Procedimientos operativos de seguridad: defina cómo recopilar y procesar información sobre amenazas.