Categories: Certificación iso 27001, ISO 27001

by drmunozcl

Share

Categories: Certificación iso 27001, ISO 27001

Por drmunozcl

Compartir

El control 8.23 – Filtrado Web de la norma ISO/IEC 27001:2022 tiene como objetivo proteger a la organización de amenazas derivadas del acceso a contenidos maliciosos o inapropiados en la web, mediante la implementación de mecanismos de control y monitoreo del tráfico web.

A continuación, se describe una guía práctica para su implementación exitosa.

Objetivo del Control

«Restringir el acceso a sitios web con contenido malicioso, no relacionado con las actividades laborales, o que presenten riesgos para la seguridad de la información.»

Este control ayuda a prevenir:

  • Descargas de malware.

  • Pérdida de productividad.

  • Fugas de datos por medio de páginas comprometidas.

  • Incumplimiento normativo (ej. contenidos ilegales o inapropiados).

Etapas para la Implementación

1. Evaluación de Riesgos

Antes de aplicar filtros, realiza una evaluación de riesgos para identificar:

  • Categorías de sitios peligrosos (malware, phishing, contenido adulto, etc.).

  • Departamentos que requieren acceso a ciertos contenidos (como el área de marketing o TI).

  • Potenciales impactos de accesos no autorizados.

2. Definición de Políticas de Navegación

Crea una política de uso aceptable de internet, que incluya:

  • Tipos de sitios permitidos y bloqueados.

  • Excepciones justificadas por rol o función.

  • Consecuencias del incumplimiento.

Ejemplo de directiva: “Se prohíbe el acceso a redes sociales, juegos y sitios de streaming, salvo autorización expresa del área de RRHH o Marketing.”

3. Selección de Tecnología de Filtrado Web

Puedes optar por varias soluciones tecnológicas, entre ellas:

Tipo de Solución Ejemplos Populares
Firewall de próxima generación FortiGate, Palo Alto, Sophos
Proxies web con filtrado Squid con DansGuardian, Blue Coat
Agentes en endpoint Cisco Umbrella, Norton, Kaspersky
DNS Filtering (Cloud) OpenDNS, Cloudflare Gateway, CleanBrowsing

Elige una solución que permita:

  • Filtrado por categoría y dominio.

  • Whitelists / Blacklists.

  • Registro de eventos y alertas.

  • Autenticación de usuarios (LDAP, SSO).

4. Implementación Técnica

Pasos clave:

  • Configurar perfiles de filtrado por rol/perfil.

  • Activar registros de navegación y alertas.

  • Integrar con el directorio activo (opcional) para trazabilidad.

  • Activar HTTPS inspection si es necesario.

5. Pruebas y Validación

Antes de aplicar globalmente:

  • Prueba el filtrado con un grupo piloto.

  • Verifica que no afecte aplicaciones críticas.

  • Ajusta las políticas según observaciones.

Ejemplo de Evidencia para Auditoría

Para demostrar cumplimiento del control 8.23 en una auditoría de ISO 27001, puedes presentar:

  • Políticas de uso aceptable de internet firmadas.

  • Capturas de pantalla o configuración de la herramienta de filtrado.

  • Informes de accesos bloqueados.

  • Registro de aprobaciones para excepciones.

  • Logs de monitoreo de tráfico web.

Conclusión

El filtrado web es un componente esencial para la seguridad en las organizaciones modernas. Su implementación eficaz no solo protege frente a amenazas externas, sino que también ayuda a establecer una cultura de navegación responsable y alineada con los objetivos de seguridad de la información.

Implementar este control de manera documentada, medida y revisada te acercará más a un SGSI robusto y efectivo.

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • codificación seguro iso 27001 control 8.28

    Implementación Control A.8.28 – Codificación segura

    El control 8.28 de ISO/IEC 27001:2022 establece la necesidad de aplicar prácticas de codificación segura durante el desarrollo de software y sistemas, con el fin de minimizar vulnerabilidades que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. En este artículo, te guiamos paso a paso en su implementación. Objetivo del Control 8.28 “Asegurar

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su

  • Prevención fuga de datos

    Implementación Control A.8.12 – Prevención de fuga de datos

    En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas