Sobreviva a su revisión de seguridad de proveedores
En seguridad, todo evoluciona constantemente y las normas no son una excepción. La norma ISO 27001:2022 sustituirá en breve a la ISO 27001:2013. En la versión de 2022 no se ha suprimido ningún requisito importante de 2013. Sin embargo, hay muchos cambios, principalmente en dos categorías:
- un montón de nuevos controles de seguridad
- fusionando muchos de los antiguos controles de 2013.
Para esta entrada de blog, vamos a centrarnos en las nuevas que se centran en la seguridad.
La revisión de la norma ISO 27001:2022 introduce 11 nuevos controles
A.5.7 Información sobre amenazas
Este control clave de la norma ISO 27001:2022 consiste en recopilar información sobre amenazas y analizarla para tomar las medidas de protección adecuadas. Esto significa estar al tanto de ataques específicos y de los métodos y tecnologías furtivos que utilizan los atacantes. Además, exige vigilar las últimas tendencias de ataque. Aquí está el truco: debe reunir esta información tanto dentro de su propia organización como de fuentes externas, como anuncios de agencias gubernamentales e informes de proveedores. Si te mantienes al tanto de lo que ocurre, podrás cumplir con A.5.7.
Es como si el Aikido hubiera sido diseñado para esto. Es literalmente lo que hace el Aikido.
A.5.23 Seguridad de la información para el uso de servicios en nube
Para cumplir este requisito de la norma ISO 27001:2022 tendrá que establecer requisitos de seguridad para los servicios en la nube con el fin de proteger mejor su información en la nube. Esto incluye la compra, el uso, la gestión y la finalización del uso de servicios en la nube.
🎯 Aikido tiene una herramienta integrada de gestión de la postura de seguridad en la nube (CSPM) para ayudarte.
A.5.30 Preparación de las TIC para la continuidad de las actividades
Este control requiere que su tecnología de la información y la comunicación esté preparada para posibles interrupciones. ¿Por qué? Para que la información y los activos necesarios estén disponibles cuando se necesiten. Esto incluye la planificación de la preparación, la implementación, el mantenimiento y las pruebas.
🎯 Para que pueda cumplir con este requisito de la norma ISO 27001:2022, Aikido comprueba su preparación para grandes interrupciones en la nube, incluida su capacidad para realizar copias de seguridad entre regiones. Esta característica no es una configuración predeterminada ni siquiera para AWS.
A.7.4 Vigilancia de la seguridad física
Este control ISO 27001:2022 es un poco diferente de los demás: se centra en el espacio físico de trabajo. Requiere que controle las áreas sensibles para permitir que sólo accedan a ellas las personas autorizadas. Los espacios a los que podría afectar podrían incluir cualquier lugar en el que opere: sus oficinas, instalaciones de producción, almacenes y cualquier otro espacio físico que utilice.
Consejo: ¡es hora de ir al dojo local! Para esto, ¡necesitarás Aikido de verdad! (el arte marcial) 😂
A.8.9 Gestión de la configuración
Este control le obliga a gestionar todo el ciclo de configuración de la seguridad de su tecnología. El objetivo es garantizar un nivel de seguridad adecuado y evitar cualquier cambio no autorizado. Esto incluye la definición de la configuración, su aplicación, supervisión y revisión.
🎯 Una de las cosas aquí es que te asegures de que la seguridad correcta está configurada en tu git (GitHub) para cada rama, por lo que no todo el mundo puede fusionar sin las aprobaciones adecuadas.
Aikido verificará muchos de los problemas de configuración en su nube. También verificará que utiliza IAC para definir su nube, para evitar la deriva en la configuración en su nube.
A.8.10 Supresión de información
Debe eliminar los datos cuando ya no sean necesarios para cumplir este control. ¿Por qué? Para evitar la fuga de información sensible y permitir el cumplimiento de los requisitos de privacidad y de otro tipo. Esto podría incluir la eliminación en tus sistemas informáticos, soportes extraíbles y servicios en la nube.
⚠️ Este tipo de control no es algo que el Aikido cubra.
A.8.11 Enmascaramiento de datos
La norma ISO 27001:2022 exige que se utilice el enmascaramiento de datos (también conocido como ofuscación de datos) junto con el control de acceso para limitar la exposición de información sensible. Esto se refiere principalmente a la información personal identificable (IPI), porque ya existen sólidas normas de privacidad. Además, también podría incluir otras categorías de datos sensibles.
⚠️ Este control consiste en asegurarse de que no se registra la IPI incorrecta en los sistemas de registro, etc. Afortunadamente, la mayoría de los sistemas modernos (por ejemplo, Sentry) tienen algún tipo de filtro incorporado para este requisito. Pero, Aikido no está construido para comprobar este control.
A.8.12 Prevención de fuga de datos
Para este control, tendrá que aplicar diversas medidas contra la fuga de datos a fin de evitar la divulgación no autorizada de información sensible. Y si se producen incidentes de este tipo, tendrás que detectarlos a tiempo. Esto incluye la información de los sistemas informáticos, las redes y cualquier dispositivo.
🎯 Aikido verifica que tu nube no tiene ningún error de configuración de seguridad que pueda provocar una fuga de datos no deseada.
A.8.16 Actividades de control
Este control requiere que supervise sus sistemas para reconocer actividades inusuales y, en caso necesario, activar la respuesta adecuada ante incidentes. Esto incluye la supervisión de sus sistemas informáticos, redes y aplicaciones.
🎯 Una vez que tengas tus apps configuradas no basta con dejar que los correos se amontonen en el archivo de tu bandeja de entrada. Lo mejor es dejar que envíen alertas a Slack. Y, ¿adivina qué? Aikido hace esto.
A.8.23 Filtrado web
Para proteger sus sistemas informáticos, el control de filtrado web le permite gestionar a qué sitios web acceden sus usuarios. De este modo, evitará que sus sistemas se vean comprometidos por códigos maliciosos. También evitará que los usuarios utilicen materiales ilegales de Internet.
🎯 En la práctica, esto significa utilizar cualquier tipo de WAF como AWS WAF o Cloudflare. Aikido te cubre: monitorizamos su presencia.
A.8.28 Codificación segura
La norma ISO 27001:2022 también se ocupa de la codificación segura. Este control le exige que establezca principios de codificación segura y los aplique al desarrollo de su software. ¿Por qué? Para reducir las vulnerabilidades de seguridad en el software. ¿Cuándo? Puede incluir actividades antes, durante y después de la codificación.
🎯 Esta es la prueba estática de seguridad de aplicaciones (SAST) de Aikido, que hemos construido sobre el mejor software de código abierto de su clase. Además, puede utilizar nuestro análisis de composición de software (SCA), construido sobre Trivy.
Cumplimiento de la norma ISO 27001:2022 con ayuda del Aikido
Si todavía estás en ISO 27001:2013, tendrás trabajo que hacer. Pero no se preocupe. Es factible ponerse al día con la norma ISO 27001:2022 en poco tiempo.
Por lo tanto, si quieres asegurar tu aplicación rápidamente, Aikido te da una visión completa de cómo lo estás haciendo con respecto al código y los controles de la nube.
¿Quieres saber cómo lo estás haciendo? ¡Comprueba ahora tu cumplimiento con Aikido! Sólo le llevará unos minutos: https://app.aikido.dev/reports/iso
¿Le interesa charlar con alguien que haya pasado por el proceso de certificación ISO? Rellene el siguiente formulario y concertaremos una llamada.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)