Gestión de la configuración en seguridad de la información.

CONTENIDO

• Complejidad y amenazas crecientes
• Gestión de la configuración en el contexto de ISO 27001:2022
• Control 8.9 "Gestión de la configuración"
• Gestión de la configuración en seguridad de la información - Conclusión
• DQS: su contacto para la seguridad de la información certificada

Complejidad y amenazas crecientes

Los ajustes y configuraciones de seguridad incorrectos conllevan riesgos incalculables para la seguridad de la información. En vista de la creciente complejidad de los entornos de TI modernos, la gestión de la configuración (es decir, la definición, documentación, implementación, supervisión y revisión continua y sistemática de las configuraciones de seguridad) se está convirtiendo en una tarea desafiante que se extiende al gestión de cumplimiento de una organización.

Para un externo, la infraestructura de TI es una red confusa de aplicaciones, dispositivos, componentes de red y servicios, ya sea alojados localmente o en la nube. Estos últimos, en particular, han aumentado drásticamente durante la pandemia de coronavirus. Para los equipos de TI, sin embargo, configurar el creciente número de componentes del sistema y monitorear y adaptar continuamente las configuraciones de los sistemas significa una cantidad considerable de trabajo, que a menudo abruma a los empleados. Sin una gestión sistemática de la configuración, esto puede generar un riesgo de seguridad considerable y la pérdida o uso indebido de datos (incluidos los datos personales).

Después de todo, el 81% de los responsables de seguridad en un país alemán estudio a partir de 2022 afirmó que las vulnerabilidades y las malas configuraciones desconocidas causan los mayores problemas de seguridad en sus infraestructuras. Y en el Pandemia once , un estudio de Cloud Security Alliance sobre las vulnerabilidades más graves en la computación en la nube durante la pandemia, las configuraciones erróneas también ocupan un tercer lugar destacado.

Por lo tanto, una consecuencia lógica de los avances de los últimos años es prestar más atención a la gestión de la configuración en la tecnología de la información, por ejemplo en el contexto del acceso no autorizado. Por lo tanto, es correcto que el nuevo ISO/CEI 27001 :2022 ha dedicado un control de seguridad de la información independiente a este tema.

Gestión de la configuración en el contexto de ISO 27001:2022

El Anexo A reestructurado de la norma ISO 27001 a partir de 2022 contiene 93 medidas (controles) de seguridad de la información, incluidas 11 nuevas. Con la actualización, los controles ahora están organizados temáticamente en cuatro secciones.

• Medidas organizativas
• Medidas personales
• Medidas fisicas
• Medidas tecnológicas

La gestión segura de la configuración en la tecnología de la información se incluye en el área temática de medidas tecnológicas o técnicas y se enumera en el Apéndice A en el punto 8.9. Es una de las herramientas preventivas que apoyan a los tres objetivos de protección de la seguridad de la información (confidencialidad, integridad y disponibilidad).

Plantillas estándar

La definición de plantillas estándar ayuda a las organizaciones a sistematizar su gestión de configuración. En este desarrollo se deben tener en cuenta los siguientes aspectos básicos:

• Orientación disponible públicamente, por ejemplo de proveedores u organismos de seguridad independientes.
• Niveles de protección necesarios para garantizar una seguridad adecuada
• Soporte para políticas internas de seguridad de la información, pautas, estándares y otros requisitos de seguridad específicos de temas.
• Viabilidad y aplicabilidad de configuraciones en el contexto de la organización.

Las plantillas estándar desarrolladas deben revisarse y actualizarse periódicamente, especialmente cuando es necesario abordar nuevas amenazas o vulnerabilidades, o cuando se introducen nuevas versiones de software o hardware en la organización.

También hay otros puntos a considerar al crear las plantillas. Todo esto ayuda a evitar cambios no autorizados o incorrectos en las configuraciones:

• Minimizar el número de identidades con derechos de acceso administrativo o privilegiado
• Desactivar identidades innecesarias, no utilizadas o inseguras
• Desactivar o restringir funciones y servicios que no sean necesarios
• Restringir el acceso a potentes utilidades y configuraciones de parámetros del host
• Sincronización de relojes
• Cambiar los datos de autenticación predeterminados del fabricante y las contraseñas predeterminadas inmediatamente después de la instalación y verificar parámetros importantes relevantes para la seguridad.
• Llamar a instalaciones de tiempo de espera que desconectan automáticamente los dispositivos informáticos después de un cierto período de inactividad
• Compruebe si se cumplen los requisitos de la licencia.

Gestión y seguimiento de configuraciones.

Todas las configuraciones deben registrarse y los cambios deben registrarse de manera confiable para descartar configuraciones incorrectas después de un incidente. Esta información debe almacenarse de forma segura, por ejemplo en bases de datos o plantillas de configuración.

Todos los cambios se realizan de acuerdo con el control 8.32 "Control de cambios", que describe una guía para cambios en las pautas de procesamiento de información y los sistemas de información. Los registros de configuración deben contener toda la información necesaria para rastrear tanto el estado de un sistema o activo de TI como cualquier cambio realizado en él en cualquier momento. Esto incluye, por ejemplo, la siguiente información.

• Información actual sobre el activo en cuestión: ¿quién es el propietario o punto de contacto?
• Fecha del último cambio de configuración
• Versión de la plantilla de configuración
• Conexiones y relaciones con las configuraciones de otros activos.

Un conjunto completo de herramientas de administración del sistema, como programas de mantenimiento, soporte remoto, herramientas de administración empresarial y software de respaldo y restauración, ayuda a monitorear y verificar periódicamente las configuraciones. Con la ayuda de estas herramientas, los administradores pueden verificar los ajustes de configuración, evaluar la seguridad de las contraseñas y evaluar las actividades realizadas.

Los estados reales también se pueden comparar con las plantillas de objetivos definidas y se pueden iniciar respuestas adecuadas en caso de desviaciones, ya sea aplicando automáticamente la configuración de objetivos definida o analizando manualmente la desviación y las medidas correctivas posteriores. La automatización, por ejemplo a través de infraestructura como código (infraestructura programable), permite gestionar de manera eficiente y segura las configuraciones de seguridad en entornos virtualizados y computación en la nube.

Gestión de la configuración en seguridad de la información: un resumen

La gestión de la configuración en la seguridad de la información es una herramienta de seguridad importante y contribuye de forma duradera a reducir significativamente las brechas de seguridad causadas por configuraciones incorrectas. Su enfoque sistemático alivia la carga de los equipos internos y contribuye a operaciones de TI eficientes, así como al fortalecimiento de los sistemas y la disponibilidad de información y datos confidenciales. Los efectos positivos, por ejemplo, en la protección de datos personales también son evidentes.

La gestión de la configuración también se puede integrar en los procesos de gestión de activos y las herramientas asociadas. La gestión central de la configuración de seguridad permite reaccionar rápidamente ante nuevas amenazas y vulnerabilidades en la disponibilidad de los sistemas y la protección de datos, ayudando así a minimizar las posibles superficies de ataque en los sistemas. El nuevo control de seguridad de la información 8.9 de ISO 27001 Proporciona un importante aporte de seguridad para las organizaciones y su gestión.

Este valor añadido debe ser implementado por empresas y organizaciones. Los requisitos del control 8.9 deben compararse con el estado actual y optimizarse aún más mediante un proceso de cambio controlado. Con más de 35 años de experiencia en auditoría y certificación, somos su socio ideal y podemos brindarle asesoramiento y soporte en materia de seguridad de la información.

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022.

Esto da como resultado los siguientes plazos y periodos de transición para los usuarios

Última fecha para auditorías iniciales/recertificación bajo la "antigua" ISO 27001

• Después del 30 de abril de 2024, DQS solo realizará auditorías iniciales y de recertificación de acuerdo con la nueva norma ISO/IEC 27001:2022.

Conversión de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva versión 2022

• Se aplica un período de transición de 3 años a partir del 31 de octubre de 2022.
• Los certificados emitidos de acuerdo con ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 a más tardar o deben retirarse en esta fecha.

ISO/CEI 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos

DQS: simplemente aprovechando la seguridad

Las organizaciones todavía tienen algo de tiempo para hacer la transición a la nueva versión de ISO/IEC 27001. Los certificados actuales basados en la antigua norma perderán su validez el 31 de octubre de 2025. Sin embargo, les recomendamos que se ocupen de los requisitos modificados para un  sistema de gestión de seguridad de la información (SGSI) en una etapa temprana, iniciar procesos de cambio adecuados e implementarlos en consecuencia.

Como expertos en  auditorías y certificaciones Con más de tres décadas de experiencia, podemos ayudarle a implementar la  nueva norma ISO 27001:2022 . Infórmese con nuestros numerosos auditores experimentados sobre los cambios más importantes y su relevancia para su empresa y confíe en nuestra experiencia. Esperamos con interés escuchar de usted.

Confianza y experiencia

Nuestros artículos y documentos técnicos están escritos exclusivamente por nuestros expertos en estándares o por nuestros veteranos  auditores . Si tiene alguna pregunta sobre el contenido del texto o nuestros servicios a nuestro autor, contáctenos.