Propósito del Control 5.13
5.13 es un control preventivo que protege los activos de información contra los riesgos de seguridad ayudando a las organizaciones a lograr dos propósitos distintos:
- Facilitar la demostración del nivel de clasificación que se le da a cada activo de información cuando la información se comunica interna y externamente y cuando es accedida y utilizada por empleados y terceros.
- Agilizar el proceso de automatización de la gestión y procesamiento de la información.
Atributos de Control 5.13
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Protección de la información | #Defensa |
| #Integridad | #Proteccion | |||
| #Disponibilidad |
Propiedad del Control 5.13
Teniendo en cuenta que agregar metadatos a los activos digitales es la forma principal de etiquetar los activos de información, los administradores de metadatos serán responsables de la implementación adecuada del procedimiento de etiquetado.
Junto con los administradores de metadatos, los propietarios de activos con autorizaciones de acceso y modificación serán responsables del etiquetado adecuado de todos los activos de datos y realizarán las modificaciones necesarias al etiquetado si es necesario.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cómo cumplir
El Control 5.13 identifica cuatro pasos específicos que las organizaciones deben implementar para llevar a cabo el etiquetado de la información de conformidad con el 5.13.
Desarrollar e implementar un Procedimiento de Etiquetado de Información
Las organizaciones deben desarrollar un Procedimiento de etiquetado de información para toda la organización que se adhiera al esquema de clasificación de información creado de acuerdo con el Control 5.12.
Además, el 5.13 exige que este Procedimiento se extienda a todos los activos de información, independientemente de si están en formato digital o en papel y que las etiquetas deben ser fáciles de reconocer.
Si bien no hay límite a lo que este documento de Procedimiento puede contener, el Control 5.13 establece que los Procedimientos deben incluir al menos lo siguiente:
- Descripción de los métodos para adjuntar etiquetas a los activos de información dependiendo del medio de almacenamiento y cómo se accede a los datos.
- Dónde se colocarán las etiquetas para cada tipo de activo de información.
- Qué activos de información no serán etiquetados, en su caso. Por ejemplo, una organización puede omitir etiquetar datos públicos para agilizar el proceso de etiquetado de información.
- Descripción de medidas para los casos en los que no sea posible etiquetar determinado tipo de información por limitaciones técnicas, legales o contractuales.
- Las reglas sobre cómo se debe manejar el etiquetado de la información transmitida a partes internas o externas.
- Para los activos digitales, el Procedimiento debe explicar cómo se deben insertar los metadatos.
- Nombres de etiquetas que se utilizarán para todos los activos.
Proporcionar capacitación adecuada al personal sobre cómo cumplir con el procedimiento de etiquetado
El Procedimiento para etiquetar la Información puede ser eficaz sólo en la medida en que el Personal y otras partes interesadas relevantes estén bien informados sobre cómo etiquetar correctamente la información y cómo tratar los activos de información etiquetados.
Por lo tanto, las organizaciones deben brindar capacitación sobre el Procedimiento al personal y a otras partes relevantes.
Utilice metadatos para etiquetar activos de información digital
5.13 requiere el uso de metadatos para etiquetar activos de información digital.
Además, señala que los metadatos deben implementarse de una manera que haga fácil y eficiente identificar y buscar información y también de una manera que agilice el proceso de toma de decisiones entre sistemas relacionados con la información etiquetada.
Tome medidas adicionales para etiquetar datos confidenciales que puedan salir del sistema
Teniendo en cuenta los riesgos que implica la transferencia externa de datos confidenciales desde los sistemas, 5.13 recomienda que las organizaciones etiqueten estos activos de información con aquellos más apropiados al nivel de criticidad y sensibilidad de la información en cuestión.
Orientación complementaria sobre control 5.13
El 5.13 destaca que la identificación y el etiquetado preciso de la información clasificada es vital para la seguridad de las operaciones de intercambio de datos.
Además de los cuatro pasos específicos descritos anteriormente, 5.13 también recomienda que las organizaciones inserten puntos de metadatos adicionales, como el nombre del proceso que creó el activo de información y la hora de dicha creación.
Además, el 5.13 se refiere a las técnicas de etiquetado comunes que las organizaciones pueden implementar:
- Etiquetas físicas
- Encabezados y pies de pagina
- metadatos
- marcas de agua
- Sellos de goma
Por último, el 5.13 enfatiza que etiquetar los activos de información como "confidenciales" y "clasificados" puede tener consecuencias no deseadas porque puede facilitar que los actores malintencionados busquen y encuentren activos de información confidencial.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/5.13 reemplaza a 27002:2013/8.2.2 (Etiquetado de información).
Si bien los dos controles son similares hasta cierto punto, existen dos diferencias clave que hacen que la versión 2022 sea más completa.
Nuevos requisitos sobre el uso de metadatos
Si bien la versión de 2013 se refería a los metadatos como una técnica de etiquetado, no imponía ninguna obligación específica de cumplimiento al utilizar metadatos.
Por el contrario, la versión 2022 impone requisitos estrictos sobre cómo utilizar la técnica de metadatos. A modo de ejemplo, la versión 2022 requiere que:
- Los metadatos se agregan a la información de una manera que facilita su identificación, gestión y descubrimiento de información de forma eficiente.
- Se deben insertar metadatos para el nombre del proceso organizacional que creó un activo específico y su hora.
El contenido del procedimiento de etiquetado de información debe ser más detallado
A diferencia de la versión 2022, la versión 2013 no especificó el contenido mínimo que debe incluirse en un Procedimiento de Etiquetado de Información.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Nuestra plataforma es intuitivo y fácil de usar. No es sólo para gente muy técnica; es para todos en su organización. Le recomendamos que involucre al personal de todos los niveles de su negocio en el proceso de construcción de su ISMS, porque eso te ayuda a construir un sistema verdaderamente sostenible.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
