¿Cómo sería un proceso de recertificación de zona DMZ? Digamos que creamos una zona de seguridad separada para cada aplicación alojada en DMZ. Ahora nos gustaría ponernos en contacto con la persona a cargo de la zona en cuestión para preguntar si aún es necesaria. ¿Cómo podría manejarse esto? ¿Hay alguna directiva ISO 27001 relacionada con esto?
Lo que solicita es la administración básica del ciclo de vida:
Necesita una política y un procedimiento para revisar todas las configuraciones de firewall (incluidas las zonas) para garantizar que el "diseño" actual cumple con las necesidades y los objetivos de su intención. La frecuencia de esta revisión depende de las necesidades de su organización, cada año podría estar bien.
Cada 'zona' requiere un 'propietario' que diseña y controla los controles en esta zona. Cualquier cambio en la zona requiere la entrada del propietario. La propiedad se establece lo antes posible para evitar que el propietario se sorprenda de que es responsable de la infraestructura crítica.
Durante la fase de revisión, cada elemento relevante de la zona es verificado por el propietario como actual y la verificación es cuestionada por un tercero externo (GRC, Comité Directivo de Seguridad de la Información, etc.) como exacto.
Una vez verificada o modificada, la zona vuelve a un estado de "mantenimiento". Si la zona se considera redundante, se inicia una fase de desmantelamiento que define y prueba la eliminación de la zona para garantizar un desmantelamiento completo y seguro con un impacto mínimo en la organización.
En cuanto a ISO 27k, los términos que busca son 'revisión de controles', y hay un documento completo sobre esto: ISO 27008
Lea otras preguntas en las etiquetas dmz