¿Qué es el Control 5.11, Devolución de Activos?
An activo de información Es cualquier tipo de dato o información que tiene valor para una organización. Los activos de información pueden incluir documentos físicos, archivos y bases de datos digitales, programas de software e incluso elementos intangibles como secretos comerciales y propiedad intelectual.
Los activos de información pueden tener valor de diversas formas. pueden contener información de identificación personal (PII) sobre clientes, empleados u otras partes interesadas que podrían ser utilizados por malos actores para obtener ganancias financieras o robo de identidad. Podrían contener información confidencial sobre las finanzas, la investigación o las operaciones de su organización que proporcionaría una ventaja competitiva a sus competidores si pudieran conseguirla.
Por eso es importante que el personal y los contratistas cuyas relaciones comerciales con una organización finalicen estén obligados a devolver todos los activos que estén en su poder.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Atributos de Control 5.11
El nuevo edificio corporativo de Norma ISO 27002: 2022 Incluye tablas de atributos que no estaban incluidas en la norma anterior de 2013. Los controles se clasifican según sus atributos. También puede utilizar estos atributos para hacer coincidir su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Los atributos para el control 5.11 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de activos | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
¿Cuál es el propósito del Control 5.11?
El Control 5.11 está diseñado para proteger los activos de la organización como parte del proceso de cambio o rescisión de empleo, contrato o acuerdo. La intención de este control es evitar que personas no autorizadas retengan activos (por ejemplo, equipos, información, software, etc.) que pertenecen a la organización.
Cuando los empleados y contratistas abandonan su organización, debe asegurarse de que no se lleven consigo ningún dato confidencial. Para ello, identifica cualquier amenaza potencial y monitorea las actividades del usuario antes de su partida.
Este control tiene como objetivo garantizar que el individuo no tenga acceso a los sistemas y redes de TI cuando estos sean cancelados. Las organizaciones deben establecer un proceso de terminación formal que garantice que las personas no puedan acceder a ningún sistema de TI después de su salida de la organización. Esto se puede hacer revocando todos los permisos, deshabilitando cuentas y eliminando el acceso desde las instalaciones del edificio.
Deben existir procedimientos para garantizar que los empleados, contratistas y otras partes relevantes devuelvan todos los activos de la organización que ya no sean necesarios para fines comerciales o que deban ser reemplazados. Es posible que las organizaciones también deseen realizar una verificación final del área de trabajo del individuo para garantizar que se haya devuelto toda la información confidencial.
Por ejemplo:
- Tras la separación, se recoge el equipo propiedad de la organización (p. ej., medios extraíbles, ordenadores portátiles).
- Los contratistas devuelven el equipo y la información al final de su contrato.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Qué implica y cómo cumplir los requisitos
Para cumplir con los requisitos de control 5.11, el proceso de cambio o terminación debe formalizarse para incluir la devolución de todos los activos físicos y electrónicos emitidos previamente, propiedad de la organización o confiados a ella.
El proceso también debe garantizar que se eliminen todos y cada uno de los derechos de acceso, cuentas, certificados digitales y contraseñas. Esta formalización es especialmente importante en los casos en los que se produce un cambio o cese inesperado, como por fallecimiento o renuncia, con el fin de evitar el acceso no autorizado a los activos de la organización que podrían conducir a una violación de datos.
El proceso debe garantizar que se contabilicen todos los activos y que todos hayan sido devueltos o eliminados de manera segura.
Según el control 5.11 de la norma ISO 27002:2022, la organización debe claramente identificar y documentar toda la información y otros activos asociados a devolver que pueden incluir:
a) dispositivos terminales de usuario;
b) dispositivos de almacenamiento portátiles;
c) equipo especializado;
d) hardware de autenticación (por ejemplo, llaves mecánicas, tokens físicos y tarjetas inteligentes) para sistemas de información, sitios y archivos físicos;
e) copias físicas de la información.
Esto se puede lograr a través de una lista de verificación formal que contenga todos los elementos necesarios que el usuario debe devolver/eliminar y completar al momento de la rescisión, junto con las firmas necesarias que confirmen que los activos se han devuelto/eliminado exitosamente.
Diferencias entre ISO 27002:2013 e ISO 27002:2022
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
El control 5.11 de la norma ISO 27002:2022 no es un control nuevo, sino que es una modificación del control 8.1.4 – devolución de activos de la norma ISO 27002:2013.
Ambos controles son esencialmente iguales con lenguaje y fraseología casi similares contenidos en las pautas de implementación. Sin embargo, control 5.11 en ISO 27002:2022 viene con una tabla de atributos que permite a los usuarios hacer coincidir el control con lo que están implementando. Además, el control 5.11 de la norma ISO 27002:2022 enumera los activos que pueden incluirse en lo que debe devolverse al final del empleo o terminación del contrato.
Éstos incluyen:
a) dispositivos terminales de usuario;
b) dispositivos de almacenamiento portátiles;
c) equipo especializado;
d) hardware de autenticación (por ejemplo, llaves mecánicas, tokens físicos y tarjetas inteligentes) para sistemas de información, sitios y archivos físicos;
e) copias físicas de la información.
Esta lista no está disponible en la versión 2013.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué significan estos cambios para usted?
La norma ISO 27002:2022 actualizada se basa en la versión 2013. El comité que supervisa la norma no realizó actualizaciones ni modificaciones significativas a las versiones anteriores. Como resultado, cualquier organización que actualmente cumpla con la norma ISO 27002:2013 ya cumple con la nueva norma. Si su empresa planea mantener el cumplimiento de la norma ISO 27002, no necesitará realizar muchos cambios significativos en sus sistemas y procesos.
Sin embargo, puede obtener más información sobre cómo estas modificaciones al control 5.11 afectarán a su organización en nuestra guía sobre ISO 27002:2022.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
La plataforma ISMS.online es una gran herramienta para ayudarle a implementar y gestionar una norma ISO 27001/27002. Sistema de gestión de seguridad de la información, independientemente de su experiencia con el Estándar.
Nuestro sistema le guiará a través de los pasos para Configure exitosamente su SGSI y gestionarlo en el futuro. Tendrá acceso a una amplia gama de recursos, que incluyen:
- Un manual interactivo de ISMS.online que proporciona una guía paso a paso para implementar ISO 27001/27002 en cualquier organización.
- A herramienta de evaluación de riesgos que lo guía a través del proceso de identificación y evaluación de sus riesgos.
- Un en línea paquete de pólizas que es fácil de personalizar según sus necesidades.
- Un sistema de control de documentos que le ayuda a gestionar cada documento y registro creado como parte de su SGSI.
- Informes automáticos para una mejor toma de decisiones.
- Una lista de verificación que puede utilizar para verificar que sus procesos estén en línea con el marco ISO 27002. Al final, nuestra plataforma basada en la nube tiene todo lo que necesita para documentar pruebas de cumplimiento con el marco ISO.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
