En total se definen 11 nuevos controles, los cuales corresponden a:
a) 7 Inteligencia de amenazas, b) 23 Seguridad de la información para el uso de servicios en la nube, c) 30 Preparación de las TIC para la continuidad del negocio, d) 4 Monitoreo de la seguridad física, e) 9 Gestión de la configuración, f) 10 Eliminación de la información, g) 11 Enmascaramiento de datos, h) 12 Prevención de la fuga de datos, i) 16 Monitoreo de actividades, j) 22 Filtrado web, k) 28 Codificación segura.
Controles que se fusionan con otros controles desde la perspectiva del ISO 27002.2013.
Diversos controles fueron reordenados y reorganizados en otros controles, generando nuevos controles, provenientes desde el ISO 27002:2013:
– 5.1.1(Políticas para la seguridad de la información) y 5.1.2 (Revisión de las políticas para la seguridad de la información) se fusionan en el control 5.1 de políticas de seguridad de la información.
– 6.2.1(Política de dispositivos móviles) y 11.2.8 (Equipo de usuario desatendido) se funcionan en el control 8.1 Dispositivos de punto final del usuario.
– 8.1.1 (Inventario de activos) y 8.1.2 (Propiedad de los activos) se fusionan en el control 5.9 de Inventario de información y otros activos asociados.
– 8.1.3 (Uso aceptable de los activos) y 8.2.3 (Manipulado de la información) se fusionan en el control 5.10 Uso aceptable de la información y activos asociados.
– 8.3.1(Gestión de soportes extraíbles), 8.3.2 (Eliminación de soportes) y 8.3.3 (Soportes físicos en tránsito) se fusionan en el control 7.10 Medios de Almacenamiento.
– 9.1.1(Política de control de acceso) y 9.1.2(Acceso a las redes y a los servicios de red) se fusionan en el control 5.15 Control de Accesos.
– 9.2.4 (Gestión de la información secreta de autenticación de los usuarios), 9.3.1 (Uso de la información secreta de autenticación) y 9.4.3 (Restricción del acceso a la información) se fusionan en el control 5.17 de Autenticación de información.
– 9.2.2 (Provisión de acceso de usuario) y 9.2.5 (Revisión de los derechos de acceso de usuario), 9.2.6(Retirada o reasignación de los derechos de acceso) se fusionan en el control 5.18 de Derechos de Acceso.
– 10.1.1(Política de uso de los controles criptográficos) y 10.1.2 (Gestión de claves) se fusionan en el control 8.24 Uso de Criptografía.
– 11.1.2 (Controles físicos de entrada) y 11.1.6 (Áreas de carga y descarga) se fusionan en el control 7.2 Controles de entrada física.
– 12.1.4(Separación de los recursos de desarrollo, prueba y operación) y 14.2.6 (Entorno de desarrollo seguro) se fusionan en el control 8.31 Separación de ambientes de desarrollo, prueba y producción.
– 12.4.1(Registro de eventos), 12.4.2(Protección de la información del registro) y 12.4.3 (Registros de administración y operación) se fusionan en el control 8.15 Inicio de Sesión.
– 12.5.1(Instalación del software en explotación) y 12.6.2 (Restricción en la instalación de software) se fusionan en el control 8.19 Instalación de software en sistemas operativos.
– 12.6.1(Gestión de las vulnerabilidades técnicas) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan en el control 8.8 Gestión de vulnerabilidades técnicas.
– 12.1.2 (Gestión de cambios), 14.2.2 (Procedimiento de control de cambios en sistemas), 14.2.3 (Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo) y 14.2.4 (Restricciones a los cambios en los paquetes de software)se fusionan en el control 8.32 Gestión del Cambio.
– 13.2.1 (Políticas y procedimientos de intercambio de información), 13.2.2 (Acuerdos de intercambio de información), 13.2.3 (Mensajería electrónica) se fusionan en el control 5.14 Transferencia de información.
– 14.1.2 (Asegurar los servicios de aplicaciones en redes públicas) y 14.1.3(Protección de las transacciones de servicios de aplicaciones) se fusionan en el control 8.26 Requerimientos de seguridad en aplicaciones.
– 14.2.8 (Pruebas funcionales de seguridad de sistemas) y 14.2.9 (Pruebas de aceptación de sistemas) se fusionan en el control 8.29 de Pruebas de seguridad en el desarrollo y aceptación.
– 15.2.1(Control y revisión de la provisión de servicios del proveedor) y 15.2.2 (Gestión de cambios en la provisión del servicio del proveedor) se fusionan en el control 5.22 Monitoreo, revisión y gestión del cambio con proveedores de servicios.
– 16.1.2 (Notificación de los eventos de seguridad de la información) y 16.1.3(Notificación de puntos débiles de la seguridad) se fusionan en el control 6.8 Reporte de eventos de seguridad de la información.
– 17.1.1 (Planificación de la continuidad de la seguridad de la información), 17.1.2 (Implementar la continuidad de la seguridad de la información) y 17.1.3 (Verificación, revisión y evaluación de la continuidad de la seguridad de la información) se fusionan en el control 5.29 Disrupción durante la seguridad de la información.
– 18.1.1 (Identificación de la legislación aplicable y de los requisitos contractuales) y 18.1.5 (Regulación de los controles criptográficos) se fusionan en el control 5.31 Identificación de requerimientos legales, estatutarios, regulatorios y contractuales.
– 18.2.2 (Cumplimiento de las políticas y normas de seguridad) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan en el control 5.36 Cumplimiento con políticas y estándares para la seguridad de la información.