El etiquetado de información es un procedimiento que permite a las organizaciones poner en práctica su esquema de clasificación de información adjuntando etiquetas de clasificación a los activos de información relevantes.
El Control 5.13 aborda cómo las organizaciones deben desarrollar, implementar y gestionar un procedimiento sólido de etiquetado de información basado en el esquema de clasificación adoptado mediante el Control 5.12.
5.13 es un control preventivo que protege los activos de información contra los riesgos de seguridad ayudando a las organizaciones a lograr dos propósitos distintos:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Protección de la información | #Defensa #Proteccion |
Teniendo en cuenta que agregar metadatos a los activos digitales es la forma principal de etiquetar los activos de información, los administradores de metadatos serán responsables de la implementación adecuada del procedimiento de etiquetado.
Junto con los administradores de metadatos, los propietarios de activos con autorizaciones de acceso y modificación serán responsables del etiquetado adecuado de todos los activos de datos y realizarán las modificaciones necesarias al etiquetado si es necesario.
El Control 5.13 identifica cuatro pasos específicos que las organizaciones deben implementar para llevar a cabo el etiquetado de la información de conformidad con el 5.13.
Las organizaciones deben desarrollar un Procedimiento de etiquetado de información para toda la organización que se adhiera al esquema de clasificación de información creado de acuerdo con el Control 5.12.
Además, el 5.13 exige que este Procedimiento se extienda a todos los activos de información, independientemente de si están en formato digital o en papel y que las etiquetas deben ser fáciles de reconocer.
Si bien no hay límite a lo que este documento de Procedimiento puede contener, el Control 5.13 establece que los Procedimientos deben incluir al menos lo siguiente:
El Procedimiento para etiquetar la Información puede ser eficaz sólo en la medida en que el Personal y otras partes interesadas relevantes estén bien informados sobre cómo etiquetar correctamente la información y cómo tratar los activos de información etiquetados.
Por lo tanto, las organizaciones deben brindar capacitación sobre el Procedimiento al personal y a otras partes relevantes.
5.13 requiere el uso de metadatos para etiquetar activos de información digital.
Además, señala que los metadatos deben implementarse de una manera que haga fácil y eficiente identificar y buscar información y también de una manera que agilice el proceso de toma de decisiones entre sistemas relacionados con la información etiquetada.
Teniendo en cuenta los riesgos que implica la transferencia externa de datos confidenciales desde los sistemas, 5.13 recomienda que las organizaciones etiqueten estos activos de información con aquellos más apropiados al nivel de criticidad y sensibilidad de la información en cuestión.
El único cumplimiento
solución que necesitas
Reserva tu demostración
El 5.13 destaca que la identificación y el etiquetado preciso de la información clasificada es vital para la seguridad de las operaciones de intercambio de datos.
Además de los cuatro pasos específicos descritos anteriormente, 5.13 también recomienda que las organizaciones inserten puntos de metadatos adicionales, como el nombre del proceso que creó el activo de información y la hora de dicha creación.
Además, el 5.13 se refiere a las técnicas de etiquetado comunes que las organizaciones pueden implementar:
Por último, el 5.13 enfatiza que etiquetar los activos de información como "confidenciales" y "clasificados" puede tener consecuencias no deseadas porque puede facilitar que los actores malintencionados busquen y encuentren activos de información confidencial.
27002:2022/5.13 reemplaza a 27002:2013/8.2.2 (Etiquetado de información).
Si bien los dos controles son similares hasta cierto punto, existen dos diferencias clave que hacen que la versión 2022 sea más completa.
Si bien la versión de 2013 se refería a los metadatos como una técnica de etiquetado, no imponía ninguna obligación específica de cumplimiento al utilizar metadatos.
Por el contrario, la versión 2022 impone requisitos estrictos sobre cómo utilizar la técnica de metadatos. A modo de ejemplo, la versión 2022 requiere que:
A diferencia de la versión 2022, la versión 2013 no especificó el contenido mínimo que debe incluirse en un Procedimiento de Etiquetado de Información.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Nuestra plataforma es intuitivo y fácil de usar. No es sólo para gente muy técnica; es para todos en su organización. Le recomendamos que involucre al personal de todos los niveles de su negocio en el proceso de construcción de su ISMS, porque eso te ayuda a construir un sistema verdaderamente sostenible.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
