¿Qué es Control 5.1?
Una política de seguridad de la información proporciona a los empleados, la gerencia y partes externas (por ejemplo, clientes y proveedores) un marco para la gestión de la información electrónica, incluidas las redes informáticas.
El propósito de una política de seguridad de la información es reducir el riesgo de pérdida o robo de datos debido a amenazas internas y externas. Una política de seguridad de la información también garantiza que todos los empleados sean conscientes de sus responsabilidades para proteger los datos que conservan sus organizaciones.
Una política de seguridad de la información también se puede utilizar para demostrar el cumplimiento de las leyes y regulaciones, y ayuda a cumplir estándares como ISO 27001.
Explicación de las amenazas a la seguridad cibernética y a la seguridad de la información
Las amenazas a la seguridad cibernética son cualquier posible ataque malicioso que busque acceder ilegalmente a datos, interrumpir operaciones digitales o dañar información. Las amenazas cibernéticas pueden provenir de diversos actores, incluidos espías corporativos y hacktivistas, grupos terroristas, Estados-nación hostiles y organizaciones criminales.
Algunas de las amenazas a la seguridad cibernética y de la información más populares son:
- Malware: virus, spyware y otros programas maliciosos.
- Correos electrónicos de phishing: mensajes que parecen provenir de fuentes confiables pero que contienen enlaces y archivos adjuntos que instalan malware.
- Ransomware: malware que impide a los usuarios acceder a sus propios datos hasta que paguen un rescate.
- Ingeniería social: Los atacantes manipulan a las personas para que proporcionen información confidencial, generalmente aparentando ser dignos de confianza.
- Ataques balleneros: Correos electrónicos de phishing diseñados para que parezcan provenir de personas de alto perfil dentro de una organización.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 5.1?
El propósito de la política de seguridad de la información es garantizar el apoyo de la gestión para la protección de la información sensible de su empresa contra robos y accesos no autorizados.
El Control 5.1 cubre el control, el propósito y la guía de implementación para establecer una política de seguridad de la información en una organización de acuerdo con el marco definido por la norma ISO 27001.
El Control 5.1 establece que las organizaciones deben tener políticas de alto y bajo nivel sobre cómo administran la seguridad de su información. La alta dirección de la organización debe aprobar las políticas, que deben revisarse periódicamente y también si se producen cambios en el entorno de seguridad de la información.
El mejor enfoque es reunirse periódicamente al menos una vez al mes y programar reuniones adicionales según sea necesario. Si se realizan cambios en las políticas, la gerencia debe aprobarlos antes de implementarlas. Las políticas también deben compartirse con las partes interesadas internas y externas.
Atributos de Control 5.1
Los atributos son un medio para categorizar los controles. Estos le permiten alinear rápidamente su selección de controles con el lenguaje y los estándares comunes de la industria. En control 5.1 estos son.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Gobernancia | #Gobernanza y Ecosistema |
| #Integridad | #Resiliencia | |||
| #Disponibilidad |
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Qué implica y cómo cumplir los requisitos
La política de seguridad de la información debe proporcionar la base y estar respaldada por procedimientos operativos detallados que describan cómo se gestionará la seguridad de la información en la práctica.
La política debe ser aprobada por la alta dirección, quien debe garantizar que se comunique al personal y se ponga a disposición de las partes interesadas.
La política brinda orientación sobre el enfoque de la organización para gestionar la seguridad de la información y puede usarse como marco para desarrollar procedimientos operativos más detallados.
La política es un elemento esencial para establecer y mantener un sistema de gestión de seguridad de la información (SGSI), según lo exige la familia de normas ISO/IEC 27000, pero incluso si la organización no tiene intención de implementar una certificación formal según ISO 27001 o cualquier otra norma , una política bien definida sigue siendo importante.
Cambios y diferencias con respecto a ISO 27002:2013
En ISO 27002:2022, el control 5.1 Políticas de Seguridad de la Información no es un control nuevo, sino que es el resultado de la fusión de controles 5.1.1 Políticas de Seguridad de la Información y 5.1.2 Revisión de Políticas de Seguridad de la Información de ISO 27002 revisión 2013.
En ISO 27002:2022, el control 5.1 se actualizó para incluir una descripción de su propósito y una guía de implementación ampliada. También viene con una tabla de atributos que permite a los usuarios conciliar controles con terminologías de la industria.
En ISO 27002:2022, el control 5.1 establece que las políticas de seguridad de la información y de temas específicos deben ser definidas, aprobadas por la dirección, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes.
La política de seguridad de la información de una organización debe reflejar el tamaño, el tipo y la sensibilidad de los activos de información de la organización. También debe ser coherente con los estándares de la industria y las regulaciones gubernamentales aplicables.
Si bien la esencia del control en sí es similar a la norma 5.1.1 de ISO 27002:2013, la versión 2022 establece específicamente que estas políticas de seguridad de la información deben revisarse periódicamente y también si se producen cambios en el entorno de seguridad de la información. Esta cláusula está cubierta en la cláusula 5.1.2 de la norma ISO 27002:2013.
ISO 27002:2013 e ISO 27002:2022 establecen que el nivel más alto de la organización debe definir una política de seguridad que la alta dirección apruebe y que establezca cómo supervisarán la protección de su información. Sin embargo, los requisitos cubiertos por las políticas para ambas versiones son diferentes.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Control 5.1 Comparación de las pautas de implementación 2013 – 2022
En ISO 27002:2013, las políticas de seguridad de la información deben abordar los requisitos creados por:
- Estrategia de negocios.
- Reglamentos, legislación y contratos.
- El entorno de amenazas a la seguridad de la información actual y proyectado.
La política de seguridad de la información debe contener declaraciones relativas a:
- Definición de seguridad de la información, objetivos y principios que orienten todas las actividades relacionadas con
seguridad de información. - Asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información a
roles definidos. - Procesos para el manejo de desviaciones y excepciones.
Pero los requisitos de la norma ISO 27002:2022 son un poco más completos.
La política de seguridad de la información debe tomar en consideración requisitos derivados de:
- Estrategia y requisitos comerciales.
- Reglamentos, legislación y contratos.
- Los riesgos y amenazas a la seguridad de la información actuales y proyectados.
La política de seguridad de la información debe contener declaraciones relativas a:
- Definición de seguridad de la información.
- Objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información.
- Principios que guiarán todas las actividades relacionadas con la seguridad de la información.
- Compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información.
- Compromiso con la mejora continua del sistema de gestión de seguridad de la información.
- Asignación de responsabilidades de la gestión de seguridad de la información a roles definidos.
- Procedimientos para el manejo de exenciones y excepciones.
Al mismo tiempo, se modificaron las políticas temáticas específicas en ISO 27002:2022 para incluir; gestión de incidentes de seguridad de la información, gestión de activos, seguridad de redes, gestión de incidentes de seguridad de la información y desarrollo seguro. Algunos de los de la norma ISO 27002:2013 fueron eliminados o fusionados para formar un marco más holístico.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.Online
En ISMS.online, nuestro sistema en la nube, fácil de usar pero potente, le proporcionará un conjunto completo de herramientas y recursos para ayudarle a administrar su propio Sistema de gestión de seguridad de la información (SGSI) ISO 27001/27002, ya sea que sea nuevo según ISO 27001/27002 o ya certificado.
Nuestro intuitivo flujo de trabajo paso a paso, herramientas, marcos, políticas y controles, documentación procesable y orientación lo guiarán a través del proceso de implementación de ISO 27002, simplificando la definición del alcance del SGSI, la identificación de riesgos y la implementación de controles utilizando nuestros algoritmos, ya sea desde cero o a partir de plantillas de mejores prácticas.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
