Cuando la información se transfiere a partes internas o externas, crea un mayor riesgo para la confidencialidad, integridad, disponibilidad y seguridad de la información transmitido.
El Control 5.14 implica los requisitos que las organizaciones deben satisfacer para mantener la seguridad de los datos cuando se comparten internamente o cuando salen de la organización hacia terceros.
El Control 5.14 es un tipo de control preventivo que requiere que las organizaciones establezcan reglas, procedimientos y/o acuerdos apropiados para mantener la seguridad de los datos cuando se comparten dentro de una organización o cuando se transmiten a terceros.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de activos #Protección de la información | #Proteccion |
Si bien el desarrollo y la implementación de reglas, procedimientos y acuerdos requieren el apoyo y la aprobación de la gerencia de alto nivel, la cooperación y la experiencia de las diferentes partes interesadas dentro de una organización, incluido el equipo legal, el personal de TI y la alta gerencia, son de importancia crítica. .
Por ejemplo, el equipo legal debe garantizar que la organización celebre acuerdos de transferencia con terceros y que estos acuerdos estén en línea con los requisitos especificados en el Control 5.14. Asimismo, el equipo de TI debe participar activamente en la definición e implementación de controles para mantener la seguridad de los datos como se establece en 5.14.
El cumplimiento de 5.14 implica el desarrollo de reglas, procedimientos y acuerdos, incluida una política de transferencia de información sobre temas específicos, que proporcione a los datos en tránsito un nivel de protección apropiado para la clasificación asignada a esa información.
En otras palabras, el nivel de protección debe coincidir con el nivel de criticidad y sensibilidad de la información transmitida.
Además, el Control 5.14 especifica que las organizaciones deben firmar acuerdos de transferencia con terceros destinatarios para garantizar la transmisión segura de datos.
El control 5.14 agrupa los tipos de transferencia en tres categorías:
Antes de pasar a describir los requisitos específicos para cada tipo de transferencia, el Control 5.14 enumera los elementos que deben incluirse en todas las reglas, procedimientos y acuerdos para los tres tipos de transferencias en general:
Después de enumerar los requisitos de contenido mínimo para reglas, procedimientos y acuerdos comunes a los tres tipos de transferencia, el Control 5.14 enumera requisitos de contenido específicos para cada tipo de transferencia.
Las reglas, acuerdos y procedimientos deben abordar las siguientes cuestiones cuando la información se transfiere electrónicamente:
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Cuando la información se comparte a través de medios físicos, como documentos, las reglas, procedimientos y acuerdos deben cubrir lo siguiente:
El Control 5.14 establece que cuando el personal intercambia información dentro de la organización o cuando transmite datos a partes externas, se le debe informar de los siguientes riesgos:
27002:2022/5.14 reemplaza a 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Si bien los dos controles son similares hasta cierto punto, dos diferencias clave hacen que los requisitos de la versión 2022 sean más onerosos.
En la versión 2013, apartado 13.2.3 abordó los requisitos específicos para la transferencia de información a través de mensajería electrónica.
Sin embargo, no abordó por separado la transferencia de información de manera verbal o física.
En cambio, la versión 2022 identifica claramente tres tipos de transferencia de información y luego establece los requisitos de contenido para cada uno de ellos por separado.
Si bien la sección 13.2.3 contenía requisitos específicos para el contenido de los acuerdos de mensajería electrónica, la versión 2022 impone obligaciones más estrictas a las organizaciones.
La Versión 2022 requiere que las organizaciones describan e implementen nuevos controles en las reglas, procedimientos y acuerdos para transferencias electrónicas.
Por ejemplo, las organizaciones deberían aconsejar a sus empleados que no utilicen servicios de SMS cuando incluyan información confidencial.
La versión 2022 establece requisitos más estrictos sobre la transferencia de medios de almacenamiento físico. Por ejemplo, sus requisitos son más completos con respecto a la autenticación de los mensajeros y los tipos de daños que deben evitarse.
En la versión de 2013, hubo una referencia explícita a requisitos específicos para los acuerdos de transferencia de información. Sin embargo, las 'Reglas' y los 'Procedimientos' no se abordaron específicamente.
En cambio, la versión 2022 establece los requisitos específicos para cada uno de estos tres mecanismos.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
