Controles Tecnológicos

Controles de la ISO/IEC 27001:2022 (IV). Controles tecnológicos parte I

Controles tecnológicos

Controles tecnológicos parte I

En este artículo seguiremos abordando la revisión de los controles, en esta ocasión de carácter tecnológico, de la norma ISO/IEC 27001:2022 que han sufrido algún tipo de reordenación, y citaremos su totalidad para comprender mejor el sentido de esto procesos que velan por la seguridad de la información de nuestra organización. Dada la cantidad de controles tecnológicos que encontramos en este epígrafe los dividiremos en dos partes.

  • Control de dispositivos tecnológicos

La información almacenada, procesada o accesible a través de cualquier dispositivo usado por los empleados debe estar correctamente protegida. Una copia de seguridad nos evitará correr riesgos innecesarios frente a malas prácticas.

  • Privilegios de acceso

La asignación y el uso de los privilegios de acceso estarán restringidos y gestionados por el personal autorizado. Cualquier otro individuo que intente perpetrar esos archivos estará violando un derecho por el cual podría ser multado.

  • Restricción de acceso a la información

El acceso a la información, y otros activos asociados, será limitado y gestionado de acuerdo con la política específica del control de acceso.

  • Acceso al código fuente

El acceso de lectura, escritura del código fuente, herramientas de desarrollo, software y las bibliotecas se gestionarán adecuadamente. Tendrán un acceso delimitado al personal autorizado por la organización.

Los acuerdos de confidencialidad o no divulgación que tiene la empresa deben revisarse y actualizarse periódicamente según #ISO27001

Click To Tweet

  • Control de autenticación segura

Se implementarán tecnologías y procedimientos de autenticación seguros basados en las restricciones de acceso a la información y a la política específica sobre el control de acceso.

  • Gestión de capacidad

El uso de los recursos se controlará y ajustará de acuerdo con las normas vigentes y requisitos de capacidad esperados. La empresa debe ser capaz de abarcar tanta capacidad como sea necesaria para su organización y buen funcionamiento.

  • Protección contra malware

La protección contra malware debe ser implementada y apoyada por la organización. Todos los empleados deben tener un conocimiento adecuado de la misma.

  • Gestión de vulnerabilidades técnicas

La información sobre vulnerabilidades técnicas de los sistemas de gestión informacionales se obtendrá del uso y de la exposición de la organización a tales vulnerabilidades. Estos serán evaluados y posteriormente se tomarán las medidas apropiadas.

  • Gestión de la configuración

Todas las configuraciones, incluidas las configuraciones de seguridad, de hardware, software, servicios y redes deben ser establecidas, documentadas, implementadas, supervisadas y revisadas.

  • Control de borrado de información

La información almacenada en sistemas de información, dispositivos o en cualquier otro de los medios de almacenamiento se eliminarán cuando ya no sean necesarios.

  • Control de enmascaramiento de datos

El enmascaramiento de datos se utilizará de acuerdo con las normas de la política específica de la organización sobre el control de acceso y otros temas relacionados. También tendremos en cuenta la legislación aplicable a tal concepto.

  • Prevención de fuga de datos

Se aplicarán medidas de prevención de fuga de datos a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita datos confidenciales.

  • Copia de seguridad de la información

Se mantendrán copias de seguridad de la información, el software y los sistemas para evitar pérdidas de documentación esencial. Esta copia se irá probando regularmente de acuerdo con la política específica del tema acordada en la organización.

  • Redundancia del procesamiento de la información

Las instalaciones de procesamiento de información se implementarán con redundancia suficiente para cumplir con los requisitos de disponibilidad.

  • Control de registro

Se debe llevar un seguimiento de los registros que documentan actividades, excepciones, fallas y otros eventos relevantes que puedan ser producidos, almacenados, protegidos y analizados.

  • Supervisión de actividades

Las redes, los sistemas y las aplicaciones deben ser monitoreados en busca de anomalías. También se registrará el comportamiento y las acciones apropiadas realizadas para evaluar la información potencial y prevenir incidentes de seguridad.

  • Sincronización del reloj

Los relojes de los sistemas de procesamiento de información utilizados por la organización se sincronizarán con las fuentes de tiempo aprobadas.

 

Plataforma tecnológica para ISO/IEC 27001

Es fundamental contar con un sistema de gestión bien organizado, planificado y documentado para cumplir con todos los requisitos de la norma. En este sentido, la plataforma de gestión ISOTools puede ser de gran ayuda, ya que permite gestionar todos los procesos y tareas relacionados con la ISO 27001.

Con ISOTools, se puede crear un repositorio de documentos en el que se almacenan todos los documentos relacionados con el sistema de gestión, que se encuentran disponibles en cualquier momento. Además, esta plataforma cuenta con la posibilidad de asignar roles y permisos específicos a los usuarios, lo que permite que las acciones se realicen de manera más eficiente y sin errores. En resumen, ISOTools es una herramienta útil que puede ayudar a las empresas a cumplir con los requisitos de la norma ISO/IEC 27001 de manera más eficiente y efectiva.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba