Superar la revisión de seguridad de su proveedor
En seguridad, todo está en constante evolución y los estándares no son una excepción. ISO 27001:2022 pronto reemplazará a ISO 27001:2013. No se eliminaron requisitos significativos de la versión de 2013 para la de 2022. Pero hay muchos cambios, principalmente en dos categorías:
- un conjunto completo de nuevos controles de seguridad
- fusionando muchas de las antiguas comprobaciones de 2013.
Para esta entrada de blog, centrémonos solo en las nuevas que se centran en la seguridad.
La revisión de ISO 27001:2022 introduce 11 nuevos controles
A.5.7 Inteligencia de amenazas
Este control clave de la ISO 27001:2022 se centra en recopilar información sobre amenazas y analizarlas para tomar las medidas de protección adecuadas. Esto significa obtener información detallada sobre ataques específicos y los métodos y tecnologías sigilosos que utilizan esos atacantes. Además, exige monitorizar las últimas tendencias de ataque. La clave es que debes recopilar esta inteligencia tanto dentro de tu propia organización como de fuentes externas, como anuncios de agencias gubernamentales e informes de proveedores. Al estar al tanto de lo que sucede, podrás cumplir con A.5.7.
🎯 Buenas noticias: es como si Aikido hubiera sido diseñado para esto. Es literalmente lo que hace Aikido.
A.5.23 Seguridad de la información para el uso de servicios en la nube
Para cumplir con este requisito de ISO 27001:2022, necesitarás establecer requisitos de seguridad para los servicios en la nube con el fin de proteger mejor tu información en la nube. Esto incluye la adquisición, el uso, la gestión y la terminación del uso de los servicios en la nube.
🎯 Aikido cuenta con una herramienta integrada de gestión de la postura de seguridad en la nube (CSPM) para ayudarte.
A.5.30 Preparación de las TIC para la continuidad del negocio
Este control requiere que su tecnología de la información y la comunicación esté preparada para posibles interrupciones. ¿Por qué? Para que la información y los activos requeridos estén disponibles cuando sea necesario. Esto incluye la planificación de la preparación, implementación, mantenimiento y pruebas.
🎯 Para permitirte cumplir con este requisito de la ISO 27001:2022, Aikido verifica tu preparación para grandes interrupciones en la nube, incluida tu capacidad de hacer copias de seguridad entre regiones. Esta característica no es una configuración predeterminada ni siquiera para AWS.
A.7.4 Monitorización de la seguridad física
Este control ISO 27001:2022 es un poco diferente a los demás: se centra en el espacio de trabajo físico. Requiere que supervises áreas sensibles para permitir el acceso únicamente a personas autorizadas. Los espacios que esto podría afectar incluyen cualquier lugar donde operes: tus oficinas, instalaciones de producción, almacenes y cualquier otro espacio físico que utilices.
🥋 Un consejo: ¡es hora de ir al dojo local! Para esto, ¡necesitarás Aikido de verdad! (el arte marcial) 😂
A.8.9 Gestión de la configuración
Este control requiere que gestione todo el ciclo de configuración de seguridad para su tecnología. El objetivo es garantizar un nivel adecuado de seguridad y evitar cualquier cambio no autorizado. Esto incluye la definición, implementación, monitorización y revisión de la configuración.
🎯 Una de las cosas aquí es asegurarse de que la seguridad correcta esté configurada en tu git (GitHub) para cada rama, para que no todos puedan fusionar sin las aprobaciones adecuadas.
Aikido verificará muchos de los problemas de configuración en tu nube. También verificará que uses IaC para definir tu nube, para evitar la deriva de configuración en tu nube.
A.8.10 Eliminación de información
Debe eliminar los datos cuando ya no sean necesarios para cumplir con este control. ¿Por qué? Para evitar la fuga de información sensible y permitir el cumplimiento de los requisitos de privacidad y otros. Esto podría incluir la eliminación en sus sistemas de TI, medios extraíbles y servicios en la nube.
⚠️ Este tipo de control no está cubierto por Aikido.
A.8.11 Enmascaramiento de datos
ISO 27001:2022 requiere el uso de enmascaramiento de datos (también conocido como ofuscación de datos) junto con el control de acceso para limitar la exposición de información sensible. Esto se refiere principalmente a la información de identificación personal (PII), ya que existen normativas de privacidad sólidas. Además, también podría incluir otras categorías de datos sensibles.
⚠️ Este control se centra en asegurar que no se registren datos PII incorrectos en los sistemas de registro, etc. Afortunadamente, la mayoría de los sistemas modernos (por ejemplo, Sentry) disponen de algún tipo de filtro integrado para este requisito. Sin embargo, Aikido no está diseñado para verificar este control.
A.8.12 Prevención de fugas de datos
Para este control, deberás aplicar diversas medidas de prevención de fugas de datos para evitar la divulgación no autorizada de información sensible. Y si tales incidentes ocurren, deberás detectarlos de manera oportuna. Esto incluye información en sistemas de TI, redes y cualquier dispositivo.
🎯 Aikido verifica que tu nube no tenga ninguna configuración de seguridad incorrecta que pueda resultar en una fuga de datos no deseada.
A.8.16 Actividades de monitorización
Este control requiere que monitorice sus sistemas para reconocer actividades inusuales y, si es necesario, activar la respuesta a incidentes adecuada. Esto incluye la monitorización de sus sistemas de TI, redes y aplicaciones.
🎯 Una vez que tus aplicaciones estén configuradas, no es suficiente con dejar que los correos electrónicos se acumulen en tu archivo de bandeja de entrada. Lo mejor es que envíen alertas a Slack. ¿Y adivina qué? Aikido lo hace.
A.8.23 Filtrado web
Para proteger tus sistemas de TI, el control de filtrado web requiere que gestiones a qué sitios web acceden tus usuarios. De esta manera, puedes evitar que tus sistemas se vean comprometidos por código malicioso. También evitarás que los usuarios utilicen materiales ilegales de Internet.
🎯 En la práctica, esto significa usar cualquier tipo de WAF como AWS WAF o Cloudflare. Aikido te cubre: monitorizamos su presencia.
A.8.28 Codificación segura
ISO 27001:2022 también se ocupa de la codificación segura. Este control requiere establecer principios de codificación segura y aplicarlos al desarrollo de software. ¿Por qué? Para reducir las vulnerabilidades de seguridad en el software. ¿Cuándo? Esto podría incluir actividades antes, durante y después de la codificación.
🎯 Este es el sistema de Pruebas de seguridad de aplicaciones estáticas (SAST) de Aikido, que hemos desarrollado con software de código abierto de primera categoría. Además, puedes usar nuestro análisis de composición de software (SCA), basado en Trivy.
Cumplimiento de ISO 27001:2022 con la ayuda de Aikido
Si todavía te riges por la ISO 27001:2013, tendrás trabajo por hacer. Pero no te preocupes. Es factible ponerse al día con la ISO 27001:2022 en poco tiempo.
Así que, si quieres asegurar tu aplicación rápidamente, Aikido te ofrece una visión completa de tu situación en cuanto a los controles de código y de la nube.
¿Quieres saber cómo lo estás haciendo? ¡Comprueba tu cumplimiento ahora con Aikido! Solo te llevará unos minutos: https://app.aikido.dev/reports/iso
¿Interesado en hablar con alguien que haya pasado por el proceso de certificación ISO? Rellena el formulario a continuación y programaremos una llamada.
Protege tu software ahora.
.jpg)
.avif)
