El Control 5.11 establece que el personal y otros partes interesadas según corresponda, deben devolver todos los activos de la organización que estén en su poder en caso de cambio o terminación de su empleo, contrato o acuerdo.
Esto significa que la organización debe tener una política escrita que defina reglas claras para la devolución de activos tras la rescisión. Las organizaciones también deben contar con personal que confirme la recepción de los activos devueltos, y asegurar que los activos estén adecuadamente inventariados y contabilizado.
An activo de información Es cualquier tipo de dato o información que tiene valor para una organización. Los activos de información pueden incluir documentos físicos, archivos y bases de datos digitales, programas de software e incluso elementos intangibles como secretos comerciales y propiedad intelectual.
Los activos de información pueden tener valor de diversas formas. pueden contener información de identificación personal (PII) sobre clientes, empleados u otras partes interesadas que podrían ser utilizados por malos actores para obtener ganancias financieras o robo de identidad. Podrían contener información confidencial sobre las finanzas, la investigación o las operaciones de su organización que proporcionaría una ventaja competitiva a sus competidores si pudieran conseguirla.
Por eso es importante que el personal y los contratistas cuyas relaciones comerciales con una organización finalicen estén obligados a devolver todos los activos que estén en su poder.
El nuevo Norma ISO 27002: 2022 Incluye tablas de atributos que no estaban incluidas en la norma anterior de 2013. Los controles se clasifican según sus atributos. También puede utilizar estos atributos para hacer coincidir su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Los atributos para el control 5.11 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de activos | #Proteccion |
El Control 5.11 está diseñado para proteger los activos de la organización como parte del proceso de cambio o rescisión de empleo, contrato o acuerdo. La intención de este control es evitar que personas no autorizadas retengan activos (por ejemplo, equipos, información, software, etc.) que pertenecen a la organización.
Cuando los empleados y contratistas abandonan su organización, debe asegurarse de que no se lleven consigo ningún dato confidencial. Para ello, identifica cualquier amenaza potencial y monitorea las actividades del usuario antes de su partida.
Este control tiene como objetivo garantizar que el individuo no tenga acceso a los sistemas y redes de TI cuando estos sean cancelados. Las organizaciones deben establecer un proceso de terminación formal que garantice que las personas no puedan acceder a ningún sistema de TI después de su salida de la organización. Esto se puede hacer revocando todos los permisos, deshabilitando cuentas y eliminando el acceso desde las instalaciones del edificio.
Deben existir procedimientos para garantizar que los empleados, contratistas y otras partes relevantes devuelvan todos los activos de la organización que ya no sean necesarios para fines comerciales o que deban ser reemplazados. Es posible que las organizaciones también deseen realizar una verificación final del área de trabajo del individuo para garantizar que se haya devuelto toda la información confidencial.
Por ejemplo:
Para cumplir con los requisitos de control 5.11, el proceso de cambio o terminación debe formalizarse para incluir la devolución de todos los activos físicos y electrónicos emitidos previamente, propiedad de la organización o confiados a ella.
El proceso también debe garantizar que se eliminen todos y cada uno de los derechos de acceso, cuentas, certificados digitales y contraseñas. Esta formalización es especialmente importante en los casos en los que se produce un cambio o cese inesperado, como por fallecimiento o renuncia, con el fin de evitar el acceso no autorizado a los activos de la organización que podrían conducir a una violación de datos.
El proceso debe garantizar que se contabilicen todos los activos y que todos hayan sido devueltos o eliminados de manera segura.
Según el control 5.11 de la norma ISO 27002:2022, la organización debe claramente identificar y documentar toda la información y otros activos asociados a devolver que pueden incluir:
a) dispositivos terminales de usuario;
b) dispositivos de almacenamiento portátiles;
c) equipo especializado;
d) hardware de autenticación (por ejemplo, llaves mecánicas, tokens físicos y tarjetas inteligentes) para sistemas de información, sitios y archivos físicos;
e) copias físicas de la información.
Esto se puede lograr a través de una lista de verificación formal que contenga todos los elementos necesarios que el usuario debe devolver/eliminar y completar al momento de la rescisión, junto con las firmas necesarias que confirmen que los activos se han devuelto/eliminado exitosamente.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
El control 5.11 de la norma ISO 27002:2022 no es un control nuevo, sino que es una modificación del control 8.1.4 – devolución de activos de la norma ISO 27002:2013.
Ambos controles son esencialmente iguales con lenguaje y fraseología casi similares contenidos en las pautas de implementación. Sin embargo, control 5.11 en ISO 27002:2022 viene con una tabla de atributos que permite a los usuarios hacer coincidir el control con lo que están implementando. Además, el control 5.11 de la norma ISO 27002:2022 enumera los activos que pueden incluirse en lo que debe devolverse al final del empleo o terminación del contrato.
Éstos incluyen:
a) dispositivos terminales de usuario;
b) dispositivos de almacenamiento portátiles;
c) equipo especializado;
d) hardware de autenticación (por ejemplo, llaves mecánicas, tokens físicos y tarjetas inteligentes) para sistemas de información, sitios y archivos físicos;
e) copias físicas de la información.
Esta lista no está disponible en la versión 2013.
La norma ISO 27002:2022 actualizada se basa en la versión 2013. El comité que supervisa la norma no realizó actualizaciones ni modificaciones significativas a las versiones anteriores. Como resultado, cualquier organización que actualmente cumpla con la norma ISO 27002:2013 ya cumple con la nueva norma. Si su empresa planea mantener el cumplimiento de la norma ISO 27002, no necesitará realizar muchos cambios significativos en sus sistemas y procesos.
Sin embargo, puede obtener más información sobre cómo estas modificaciones al control 5.11 afectarán a su organización en nuestra guía sobre ISO 27002:2022.
La plataforma ISMS.online es una gran herramienta para ayudarle a implementar y gestionar una norma ISO 27001/27002. Sistema de gestión de seguridad de la información, independientemente de su experiencia con el Estándar.
Nuestro sistema le guiará a través de los pasos para Configure exitosamente su SGSI y gestionarlo en el futuro. Tendrá acceso a una amplia gama de recursos, que incluyen:
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
