by drmunozcl
Share
Por drmunozcl
Compartir
El control 8.23 – Filtrado Web de la norma ISO/IEC 27001:2022 tiene como objetivo proteger a la organización de amenazas derivadas del acceso a contenidos maliciosos o inapropiados en la web, mediante la implementación de mecanismos de control y monitoreo del tráfico web.
A continuación, se describe una guía práctica para su implementación exitosa.
Objetivo del Control
«Restringir el acceso a sitios web con contenido malicioso, no relacionado con las actividades laborales, o que presenten riesgos para la seguridad de la información.»
Este control ayuda a prevenir:
-
Descargas de malware.
-
Pérdida de productividad.
-
Fugas de datos por medio de páginas comprometidas.
-
Incumplimiento normativo (ej. contenidos ilegales o inapropiados).
Etapas para la Implementación
1. Evaluación de Riesgos
Antes de aplicar filtros, realiza una evaluación de riesgos para identificar:
-
Categorías de sitios peligrosos (malware, phishing, contenido adulto, etc.).
-
Departamentos que requieren acceso a ciertos contenidos (como el área de marketing o TI).
-
Potenciales impactos de accesos no autorizados.
2. Definición de Políticas de Navegación
Crea una política de uso aceptable de internet, que incluya:
-
Tipos de sitios permitidos y bloqueados.
-
Excepciones justificadas por rol o función.
-
Consecuencias del incumplimiento.
Ejemplo de directiva: “Se prohíbe el acceso a redes sociales, juegos y sitios de streaming, salvo autorización expresa del área de RRHH o Marketing.”
3. Selección de Tecnología de Filtrado Web
Puedes optar por varias soluciones tecnológicas, entre ellas:
| Tipo de Solución | Ejemplos Populares |
|---|---|
| Firewall de próxima generación | FortiGate, Palo Alto, Sophos |
| Proxies web con filtrado | Squid con DansGuardian, Blue Coat |
| Agentes en endpoint | Cisco Umbrella, Norton, Kaspersky |
| DNS Filtering (Cloud) | OpenDNS, Cloudflare Gateway, CleanBrowsing |
Elige una solución que permita:
Filtrado por categoría y dominio.
Whitelists / Blacklists.
Registro de eventos y alertas.
Autenticación de usuarios (LDAP, SSO).
4. Implementación Técnica
Pasos clave:
-
Configurar perfiles de filtrado por rol/perfil.
-
Activar registros de navegación y alertas.
-
Integrar con el directorio activo (opcional) para trazabilidad.
-
Activar HTTPS inspection si es necesario.
5. Pruebas y Validación
Antes de aplicar globalmente:
-
Prueba el filtrado con un grupo piloto.
-
Verifica que no afecte aplicaciones críticas.
-
Ajusta las políticas según observaciones.
Ejemplo de Evidencia para Auditoría
Para demostrar cumplimiento del control 8.23 en una auditoría de ISO 27001, puedes presentar:
-
Políticas de uso aceptable de internet firmadas.
-
Capturas de pantalla o configuración de la herramienta de filtrado.
-
Informes de accesos bloqueados.
-
Registro de aprobaciones para excepciones.
-
Logs de monitoreo de tráfico web.
Conclusión
El filtrado web es un componente esencial para la seguridad en las organizaciones modernas. Su implementación eficaz no solo protege frente a amenazas externas, sino que también ayuda a establecer una cultura de navegación responsable y alineada con los objetivos de seguridad de la información.
Implementar este control de manera documentada, medida y revisada te acercará más a un SGSI robusto y efectivo.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
¿Quieres fortalecer tu ciberseguridad y acercarte al cumplimiento ISO 27001 sin dar palos de ciego? Empieza por la gestión de activos TI. Si no sabes con precisión qué hardware, software, cuentas y servicios en la nube existen en tu entorno, el resto de controles se vuelven frágiles. Gestión de activos TI e ISO 27001: por
Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en
Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.
La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite
