ISO 27001 A.7.9 Lista de verificación de seguridad de los activos fuera de las instalaciones
A.7.9 La seguridad de los activos fuera de las instalaciones dentro de ISO/IEC 27001:2022 es esencial para garantizar que la información y otros activos asociados permanezcan seguros cuando se toman o utilizan fuera de las instalaciones físicas de la organización.
Proteger estos activos es crucial para evitar el acceso no autorizado, la pérdida o el robo. Este control incluye computadoras portátiles, dispositivos móviles, medios de almacenamiento e incluso documentos en papel que los empleados pueden llevarse fuera del sitio para fines comerciales.
Implementar este control implica abordar desafíos comunes y aprovechar características y herramientas específicas para mitigar los riesgos.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Por qué debería cumplir con el Anexo A.7.9? Aspectos clave y desafíos comunes
1. Identificación y clasificación de activos
Desafíos comunes:
- Garantizar que todos los activos fuera de las instalaciones estén identificados y clasificados con precisión.
- Mantener un inventario actualizado con el movimiento frecuente de activos.
Soluciones:
- Implemente sistemas automatizados de seguimiento de activos para garantizar actualizaciones precisas y en tiempo real.
- Utilice esquemas de clasificación sólidos para categorizar los activos por sensibilidad y criticidad.
Cláusulas ISO 27001 relacionadas:
- Cláusula 8.1 Planificación y Control Operativo: Implementar y mantener procesos para gestionar los riesgos identificados.
- Cláusula 7.5 Información Documentada: Garantizar la adecuada documentación y control de la información de los activos.
2. Control de acceso
Desafíos comunes:
- Implementar medidas robustas de control de acceso que sean fáciles de usar.
- Garantizar que se apliquen de manera consistente métodos sólidos de cifrado y autenticación.
Soluciones:
- Utilice autenticación multifactor (MFA) y auditorías periódicas para garantizar el cumplimiento.
- Implemente tecnologías de cifrado para proteger los datos en activos externos.
Cláusulas ISO 27001 relacionadas:
- Cláusula 9.1 Monitoreo, Medición, Análisis y Evaluación: Auditar periódicamente los controles de acceso.
- Cláusula 8.2 Evaluación de Riesgos: Evaluar los riesgos asociados con los activos fuera del establecimiento y aplicar los controles adecuados.
3. Protección Física
Desafíos comunes:
- Garantizar que los empleados cumplan con las pautas de seguridad física fuera de la oficina.
- Prevenir pérdidas o robos en lugares públicos o no seguros.
Soluciones:
- Proporcione a los empleados estuches de transporte seguros y aplique una política clara sobre el manejo de activos.
- Llevar a cabo sesiones periódicas de capacitación sobre las mejores prácticas de seguridad física.
Cláusulas ISO 27001 relacionadas:
- Cláusula 7.2 Competencia: Garantizar que los empleados tengan las habilidades y conocimientos necesarios.
- Cláusula 8.3 Tratamiento de Riesgos: Aplicación de medidas para proteger los activos físicos.
4. Políticas de uso
Desafíos comunes:
- Desarrollar políticas integrales que cubran todos los escenarios potenciales fuera de las instalaciones.
- Garantizar que los empleados conozcan y comprendan estas políticas.
Soluciones:
- Revisar y actualizar periódicamente las políticas y realizar sesiones de capacitación obligatorias.
- Utilice el seguimiento de reconocimiento para confirmar que los empleados hayan leído y comprendido las políticas.
Cláusulas ISO 27001 relacionadas:
- Cláusula 7.3 Concientización: Sensibilizar a los empleados sobre las políticas de seguridad de la información.
- Cláusula 5.2 Política: Establecer políticas de seguridad de la información alineadas con los objetivos organizacionales.
5. Seguridad de las comunicaciones
Desafíos comunes:
- Asegurar los canales de comunicación para el acceso remoto.
- Garantizar el cumplimiento de las políticas de seguridad organizacionales durante el acceso remoto.
Soluciones:
- Implemente VPN y herramientas de comunicación segura, y supervise periódicamente las actividades de acceso remoto.
- Utilice cifrado para proteger los datos en tránsito.
Cláusulas ISO 27001 relacionadas:
- Cláusula 7.4 Comunicación: Garantizar canales de comunicación seguros.
- Cláusula 8.2 Evaluación de Riesgos: Evaluación y gestión de riesgos de comunicación.
6. Informe de incidentes
Desafíos comunes:
- Fomentar la notificación oportuna de activos perdidos, robados o comprometidos.
- Investigar y responder eficazmente a incidentes.
Soluciones:
- Simplifique el proceso de presentación de informes y asegúrese de que existan procedimientos de respuesta claros e inmediatos.
- Establezca un equipo de respuesta a incidentes dedicado y realice simulacros de respuesta a incidentes periódicamente.
Cláusulas ISO 27001 relacionadas:
- Cláusula 10.1 Mejora Continua: Uso de incidentes para mejorar las medidas de seguridad.
- Cláusula 9.2 Auditoría Interna: Auditar periódicamente el proceso de gestión de incidentes.
7. Formación y sensibilización.
Desafíos comunes:
- Mantener un alto nivel de concienciación en materia de seguridad entre los empleados.
- Garantizar que la formación sea atractiva y eficaz.
Soluciones:
- Llevar a cabo sesiones de capacitación interactivas periódicas y ofrecer campañas de concientización continuas.
- Utilice evaluaciones para medir la comprensión y retención de las prácticas de seguridad por parte de los empleados.
Cláusulas ISO 27001 relacionadas:
- Cláusula 7.2 Competencia: Proporcionar la formación y educación necesarias.
- Cláusula 7.3 Concientización: Garantizar una concientización continua sobre la seguridad de la información.
8. Monitoreo y Revisión
Desafíos comunes:
- Monitorear periódicamente los activos fuera de las instalaciones sin infringir la privacidad.
- Actualización de controles en función de la evolución de las amenazas y los comentarios.
Soluciones:
- Utilice herramientas de seguimiento no intrusivas y establezca un calendario de revisión periódica.
- Realizar evaluaciones periódicas de riesgos para identificar nuevas amenazas y vulnerabilidades.
Cláusulas ISO 27001 relacionadas:
- Cláusula 9.3 Revisión de la Gestión: Revisión de la efectividad del SGSI.
- Cláusula 9.1 Monitoreo, Medición, Análisis y Evaluación: Evaluar periódicamente la efectividad de los controles.
Al abordar estos desafíos e implementar controles sólidos, las organizaciones pueden mitigar los riesgos asociados con la extracción de activos fuera de las instalaciones, garantizando que la información confidencial permanezca segura incluso fuera del entorno controlado del lugar de trabajo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Funciones de ISMS.online para demostrar el cumplimiento de A.7.9
- Gestión de activos:
- Registro de activos: mantiene un inventario completo de todos los activos, incluidos los que se retiran de las instalaciones, para garantizar un seguimiento preciso y actualizaciones de estado.
- Sistema de etiquetado: ayuda a clasificar y etiquetar activos para una fácil identificación y gestión.
- Gestión de políticas:
- Plantillas de políticas: proporciona plantillas prediseñadas para crear y aplicar políticas relacionadas con el uso aceptable de activos fuera de las instalaciones.
- Comunicación de políticas: garantiza que todas las políticas relevantes se comuniquen de manera efectiva a los empleados, con un seguimiento de reconocimiento para confirmar la comprensión y el cumplimiento.
- Gestión de Incidentes:
- Seguimiento de incidentes: facilita la generación de informes, el seguimiento y la resolución de incidentes que involucran activos fuera de las instalaciones.
- Flujo de trabajo y notificaciones: gestiona los procesos de respuesta a incidentes y garantiza notificaciones oportunas a las partes interesadas relevantes.
- Gestión de entrenamiento:
- Módulos de capacitación: ofrece programas de capacitación específicamente enfocados en la seguridad de los activos fuera de las instalaciones, incluidas las mejores prácticas y respuesta a incidentes.
- Seguimiento de la formación: supervisa la participación de los empleados en las sesiones de formación y realiza un seguimiento de su comprensión y cumplimiento.
- Comunicación:
- Sistema de Alertas: Envía alertas y recordatorios sobre los protocolos de seguridad para activos fuera de las instalaciones.
- Sistema de notificación: proporciona actualizaciones y notificaciones oportunas sobre cualquier cambio en las políticas o procedimientos relacionados con la seguridad de los activos fuera de las instalaciones.
- Gestión de riesgos
:
- Mapa de riesgos dinámico: visualiza los riesgos asociados con los activos fuera de las instalaciones y ayuda a identificar y mitigar estos riesgos.
- Monitoreo de riesgos: Monitorea continuamente los riesgos y garantiza que los controles implementados sigan siendo efectivos.
- Gestión de Cumplimiento:
- Base de datos de registros: mantiene una base de datos de requisitos reglamentarios y garantiza que las prácticas de gestión de activos fuera de las instalaciones cumplan con los requisitos.
- Seguimiento del cumplimiento: supervisa el cumplimiento de las normas y regulaciones pertinentes, proporcionando un seguimiento de auditoría claro.
Al utilizar estas funciones de ISMS.online, las organizaciones pueden demostrar de manera efectiva el cumplimiento de A.7.9 Seguridad de los activos fuera de las instalaciones, garantizando medidas de seguridad sólidas y manteniendo la integridad de sus activos de información incluso cuando están fuera del entorno físico de la oficina.
Anexo detallado A.7.9 Lista de verificación de cumplimiento
Identificación y clasificación de activos
- Cree y mantenga un inventario completo de todos los activos permitidos fuera de las instalaciones.
- Clasifique los activos según su sensibilidad y criticidad.
- Actualice periódicamente el inventario de activos para reflejar el estado y la ubicación actuales.
- Implementar sistemas de seguimiento automatizados para monitorear los movimientos de activos en tiempo real.
Control de Acceso
- Implemente la autenticación multifactor (MFA) para acceder a activos externos.
- Asegúrese de que todos los datos de los activos externos estén cifrados.
- Realice auditorías periódicas de control de acceso para garantizar el cumplimiento.
- Revisar y actualizar las políticas de control de acceso periódicamente.
Protección física
- Proporcione a los empleados estuches de transporte seguros para los activos fuera de las instalaciones.
- Hacer cumplir una política para la seguridad física de los activos, incluidas directrices para el almacenamiento seguro.
- Educar a los empleados sobre cómo evitar dejar activos desatendidos en lugares públicos.
- Monitorear el cumplimiento de las políticas de protección física a través de controles periódicos.
Políticas de uso
- Desarrollar políticas detalladas para el uso aceptable de activos fuera de las instalaciones.
- Comunicar las políticas de uso a todos los empleados y obtener reconocimiento de comprensión.
- Revise y actualice periódicamente las políticas de uso para abordar nuevos riesgos y escenarios.
- Incluya pautas específicas para diferentes tipos de escenarios fuera de las instalaciones.
Seguridad de la comunicación
- Utilice VPN para proteger el acceso remoto a los recursos de la organización.
- Garantizar el cumplimiento de las políticas de seguridad durante el acceso remoto.
- Supervise las actividades de acceso remoto para detectar y responder al acceso no autorizado.
- Implementar herramientas de comunicación segura para la transmisión de datos.
Informe de incidentes
- Establezca un procedimiento claro para denunciar activos perdidos, robados o comprometidos.
- Asegúrese de que todos los incidentes se informen e investiguen con prontitud.
- Mantener registros de todos los incidentes reportados y las acciones tomadas.
- Realizar simulacros y capacitaciones periódicas sobre los procedimientos de notificación de incidentes.
Capacitación y Concienciación
- Llevar a cabo sesiones periódicas de capacitación sobre la seguridad de los activos fuera de las instalaciones.
- Incluir mejores prácticas y procedimientos de respuesta a incidentes en los programas de formación.
- Monitoree y rastree la participación y comprensión de los empleados en las sesiones de capacitación.
- Proporcionar campañas de concientización continuas para reforzar las prácticas clave de seguridad.
Monitoreo y Revisión
- Supervise periódicamente el uso de activos fuera de las instalaciones para garantizar el cumplimiento.
- Utilice herramientas de seguimiento no intrusivas para respetar la privacidad de los empleados.
- Revise y actualice los controles según la evolución de las amenazas y los comentarios.
- Establecer un cronograma de revisión periódica para evaluar la efectividad de los controles implementados.
Al seguir esta lista de verificación de cumplimiento, las organizaciones pueden garantizar que cumplen con los requisitos de A.7.9 Seguridad de los activos fuera de las instalaciones, manteniendo la seguridad y la integridad de sus activos incluso cuando están fuera del entorno físico de la oficina.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cada tabla de lista de verificación de control del Anexo A
| Número de control ISO 27001 | Lista de verificación de control ISO 27001 |
|---|---|
| Anexo A.6.1 | Lista de verificación de detección |
| Anexo A.6.2 | Lista de verificación de términos y condiciones de empleo |
| Anexo A.6.3 | Lista de verificación de concientización, educación y capacitación sobre seguridad de la información |
| Anexo A.6.4 | Lista de verificación del proceso disciplinario |
| Anexo A.6.5 | Responsabilidades después de la terminación o cambio de empleo Lista de verificación |
| Anexo A.6.6 | Lista de verificación de acuerdos de confidencialidad o no divulgación |
| Anexo A.6.7 | Lista de verificación de trabajo remoto |
| Anexo A.6.8 | Lista de verificación de informes de eventos de seguridad de la información |
Cómo ayuda ISMS.online con A.7.9
Póngase en contacto con ISMS.online hoy y reserve una demostración para ver cómo nuestra plataforma puede ayudarle a proteger sus activos externos y lograr el cumplimiento de ISO 27001:2022 con facilidad.
Nuestro equipo de expertos está listo para guiarlo a través de poderosas herramientas y funciones diseñadas para optimizar la gestión de seguridad de su información y mantener sus datos seguros.
Dé el primer paso hacia una seguridad de la información incomparable: reserva tu demostración ¡ahora!
