Control de Encriptación de datos en la nueva ISO 27002

Control de encriptación

Como se sabe, en el mes de febrero del presente año, fue publicado por parte del comité técnico de seguridad de la información, ciberseguridad y protección de la privacidad, por medio de la organización de estándares internacionales, la norma ISO/IEC 27002:2022 seguridad de la información, ciberseguridad y protección de la privacidad.

Cabe mencionar que la ISO 27002 no es el estándar certificable, esta norma es un complemento para implementar las mejores prácticas y controles más eficaces para prevenir ataques o la vulneración de la privacidad de la información de los clientes y las partes interesadas.

Dentro de los principales cambios que ofrece la versión 2022 de la norma ISO 27002, se tienen los siguientes:

La actualización presenta cuatro secciones de forma organizacional y dos anexos:

1.1.— Cláusula 5: Controles Organizacionales.

1.2.— Cláusula 6: Controles de Personas.

1.3.— Cláusula 7: Controles Físicos.

1.4.— Cláusula 8: Controles Tecnológicos.

Los dos anexos se ocupan para el uso de atributos y de la correspondencia con los controles de la anterior edición de la ISO 27002 del año 2013.

1.5.— La nueva edición, ISO 27002:2022, reduce el número de controles de 114 a 93.

1.6.— La implementación de los controles es ahora justificada en esta actualización con una tabla de atributos asociados con el control y con su función, los cuales pueden ser de tipo preventivo, de detección o correctivos.

La actualización a ISO 27002:2022 se agregan 11 nuevos controles:

1. Inteligencia de Amenazas.
2. Seguridad de la información en la nube.
3. Continuidad del negocio.
4. Seguridad física y su supervisión.
5. Configuración.
6. Eliminación de la información.
7. Encriptación de datos.
8. Prevención de fugas de datos.
9. Seguimiento y Monitoreo
10. Filtrado web.
11. Codificación segura.

Políticas del control de encriptación

La política sobre el empleo de controles criptográficos está orientada a la protección de la información, en el caso de que un intruso pueda tener acceso físico a la información, se impone establecer un sistema de cifrado de la misma con el objetivo de impedir el ingreso de su confidencialidad o su integridad.

En primer puesto de la política de implementación y administración de claves de cifrado de Datos se debe identificar al responsable de la política para ejecutar la implementación y administración. La clave de la política de controles criptográficos está para identificar:

1. Para qué información y en qué circunstancias será necesario aplicar claves criptográficas.
2. Medios a utilizar.
3. La gestión, mantención y actualización de los medios mencionados.

Dependiendo de la clasificación de la información y el riesgo que este presente, el cifrado utilizado debe seleccionarse para que este coincida en función del tipo de información, la gravedad de las amenazas y la posibilidad de que estos ocurran.

Normalmente, se debe tener en cuenta que los cifrados para todo los tipos de medios extraíbles y aquellos que transmiten información interna y externa. La política de encriptación debe tener presente los controles que se utilizan para detectar y eliminar ataques cibernéticos.

La gestión de claves es otro objetivo de los controles de la criptografía, donde implica mantener gestiones de claves criptográficas empleadas por los medios de cifrado. A continuación, debemos tener en cuenta el ciclo de vida completo:

1. La generación.
2. Su uso y protección.
3. Su distribución.
4. Renovación o destrucción.

Como parte de la función de la gestión, debemos determinar las fechas de activación y desactivación de claves con el objetivo de reducir los riesgos mencionados, una vez más estaremos sujetos a una evaluación de riesgos.

Cuando las claves públicas se emitan desde un proveedor externo, debe existir un acuerdo de nivel de servicio, para realizar definiciones sobre las responsabilidades del proveedor. Es posible que se deba considerar el manejo de solicitudes legales por parte de las autoridades, esto va a depender de la clasificación de la información.

Para enfatizar, se evidencia que, aunque existan cambios en el contenido de la versión 2022 de la norma 27002, se encuentra que en la práctica los controles que conocemos mantienen su propiedad, únicamente que para esta versión se han renombrado o relacionados con otros donde sus objetivos eran similares en cuanto a aplicabilidad.

Software ISO 27001

Para una gestión eficiente de la seguridad de la información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías y marcos de trabajo que sean necesarias, como ISO 27001.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.