¿Qué es el Control 5.2: Funciones y responsabilidades de seguridad de la información?
ISO 27002:2022, el control 5.2 (roles y responsabilidades de seguridad de la información) es uno de los controles más importantes de ISO 27002:2022. Es una modificación del control 6.1.1 en ISO 27002:2013 y define cómo las organizaciones deben definir y asignar roles y responsabilidades de seguridad de la información.
Funciones y responsabilidades de seguridad de la información explicadas
El director de la organización, los directores de seguridad de la información (CISO), la gestión de servicios de TI (ITSM), los propietarios del sistema y los usuarios del sistema contribuyen a la solidez de la seguridad de la información. Esta sección resume y analiza los responsabilidades de quienes desempeñan estos roles.
El líder de la organización lleva la peor parte de las responsabilidades.
La seguridad de la información es su responsabilidad como director ejecutivo de su agencia. Además, usted actúa como organismo de acreditación de la organización.
La seguridad de la información es responsabilidad del CISO
Las buenas prácticas en el sector de la seguridad y en la gobernanza son responsabilidad de los CISO. Tener esta posición en su lugar garantiza que la seguridad de la información se gestiona adecuadamente en los niveles más altos de la organización.
La gestión de servicios de TI (ITSM) es responsable de implementar medidas de seguridad y proporcionar experiencia.
Un ITSM es un funcionario de alto rango de la empresa. Los administradores de sistemas trabajan en conjunto con el director de seguridad de la información para llevar a cabo las directivas estratégicas del director ejecutivo.
Los propietarios de los sistemas son responsables de mantenerlos y operarlos.
Se requiere un propietario para cada sistema. Como resultado, corresponde a cada propietario de sistema garantizar el cumplimiento de las reglas de gobierno de TI y el cumplimiento de las necesidades comerciales.
Los usuarios del sistema protegen los sistemas adhiriéndose a políticas y procedimientos.
Es más probable que los usuarios del sistema cumplan con las reglas y procedimientos de seguridad si existe una cultura de seguridad sólida. Todo sistema tiene peligros inherentes y corresponde a los usuarios asumir la responsabilidad de mitigar dichos peligros.
Abordar este control es fundamental para garantizar que cada empleado comprenda lo que está haciendo. responsable en lo que respecta a la protección de datos, sistemas y redes. Es cierto que esto es un desafío para muchas empresas, especialmente las pequeñas, donde los empleados suelen desempeñar más de un sombrero.
Tabla de Atributos de Control 5.2
Ahora se incluye una sección de atributos en el última versión de ISO 27002. Definir atributos es una forma de clasificar controles. Estos le permiten hacer coincidir fácilmente su selección de control con la terminología típica de la industria. Los atributos para el control 5.2 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Gobernancia | #Gobernanza y Ecosistema |
| #Integridad | #Resiliencia | |||
| #Disponibilidad |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 5.2?
El propósito del control 5.2 es establecer una estructura definida, aprobada y comprendida para la implementación, operación y gestión de la seguridad de la información dentro de la organización. Este es un formal Estructura organizacional que asigna la responsabilidad de la seguridad de la información. en toda la organización.
Control 5.2 Explicado
El Control 5.2 aborda la implementación, operación y gestión de roles y responsabilidades para la seguridad de la información en una organización de acuerdo con el marco definido por ISO 27001.
El control establece que las funciones y responsabilidades de seguridad de la información deben estar bien definidas y que todos los involucrados deben comprender su función. Por lo general, a los activos se les asigna un propietario designado que asume la responsabilidad de su cuidado diario.
Sin embargo, dependiendo del tamaño de la organización y los recursos disponibles, la seguridad de la información puede ser manejada por un equipo dedicado o asignar responsabilidades adicionales a los empleados actuales.
Qué implica y cómo cumplir los requisitos
Asignar roles y responsabilidades para la seguridad de la información es crucial para garantizar que la seguridad de la información de la organización se mantenga y mejore. Para cumplir con los requisitos de este control, la asignación de roles debe formalizarse y documentarse, por ejemplo, en forma de tabla o de organigrama.
- La organización debe definir las responsabilidades y obligaciones para la seguridad de la información dentro de la organización y asignarlas a funciones o roles de trabajo de gestión específicos.
- Este control debe garantizar que haya claridad con respecto a las diversas funciones y responsabilidades dentro de la organización, a fin de garantizar que se preste la atención adecuada a la seguridad de la información.
- Cuando sea apropiado, se debe proporcionar capacitación adicional para sitios individuales e instalaciones de procesamiento de información para ayudar a cumplir con estos deberes.
La intención aquí es garantizar que se asignen y comprendan roles, responsabilidades y autoridades claras en toda la organización. Para garantizar una segregación eficaz de funciones, las funciones y responsabilidades deben documentarse, comunicarse y aplicarse de forma coherente en toda la organización.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Diferencias entre ISO 27002:2013 y 27002:2022
Como ya se señaló, el control 5.2 de la norma ISO 27002:2022, Roles y responsabilidades de seguridad de la información, no es un control nuevo. Este es simplemente un control modificado que se encuentra en ISO 27002:2013 como control 6.1.1.
Se definió el propósito del Control 5.2 y se incluyeron nuevas instrucciones de implementación en la revisión más reciente de ISO 27002. Si bien la esencia de los dos controles es básicamente la misma, hay ligeras mejoras en la versión 2022.
Por ejemplo, ISO 27002:2022 establece que las personas que asumen una función específica de seguridad de la información deben ser competente en los conocimientos y habilidades requerido por el rol y apoyado para mantenerse al día con los avances vinculados al rol y necesarios para cumplir con las obligaciones del rol. Este punto no forma parte de la versión de 2013.
Además, las pautas de implementación de ambas versiones son ligeramente diferentes. Comparemos las secciones de los dos siguientes:
ISO 27002:2013 establece que se deben indicar las áreas de las cuales las personas son responsables. Estas áreas son:
a) se deben identificar y definir los procesos de seguridad de los activos y la información;
b) se debe asignar la entidad responsable de cada activo o proceso de seguridad de la información y se deben documentar los detalles de esta responsabilidad;
c) los niveles de autorización deberían definirse y documentarse;
d) para poder cumplir con las responsabilidades en el área de seguridad de la información, las personas designadas deben ser competentes en el área y tener oportunidades para mantenerse al día con los desarrollos;
e) coordinación y supervisión de aspectos de seguridad de la información Las relaciones con los proveedores deben identificarse y documentarse.
ISO 27002:2022 está más condensada. Simplemente establece que la organización debe definir y gestionar responsabilidades para:
a) protección de información y otros activos asociados;
b) realizar procesos específicos de seguridad de la información;
c) gestión de riesgos de seguridad de la información actividades y, en particular, la aceptación de riesgos residuales (por ejemplo, a los propietarios de riesgos);
d) todo el personal que utiliza la información de una organización y otros activos asociados.
Sin embargo, ambas versiones de control sugieren que las organizaciones pueden nombrar un gerente de seguridad de la información para que asuma la responsabilidad general del desarrollo y la implementación de la seguridad de la información y respalde la identificación de los controles.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Quién está a cargo de este proceso?
Las empresas suelen nombrar a un gerente de seguridad de la información para supervisar la creación y ejecución de medidas de seguridad y para ayudar en la detección de posibles amenazas y controles.
Recursos y poner los controles en su lugar normalmente recaerá en gerentes individuales. Una práctica frecuente es designar a una persona para cada activo, quien luego está a cargo de la seguridad permanente del activo.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
No se espera que usted haga mucho para cumplir con los requisitos de la nueva norma ISO 27002:2022, excepto actualizando su SGSI procesos para reflejar los controles mejorados, si su equipo interno no puede manejar esto, ISMS.online puede ayudarlo.
Además de proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del SGSI para garantizar el cumplimiento de las normas establecidas, ISMS.online también agiliza el proceso de certificación ISO 27001 y el proceso de implementación de ISO 27002.
Toda su Soluciones SGSI se puede gestionar en una ubicación centralizada gracias a nuestro software basado en la nube. Puede utilizar nuestra aplicación fácil de usar para realizar un seguimiento de cualquier cosa que esté requerido para verificar la conformidad con ISO Especificaciones 2K7.
La implementación de ISO 27002 se simplifica con nuestro flujo de trabajo intuitivo paso a paso y herramientas que incluyen marcos, políticas y controles, documentación procesable y orientación. Puedes definir el alcance del SGSI, identifique riesgos e implemente controles utilizando nuestra plataforma, con solo unos pocos clics.
También contamos con un equipo interno de especialistas en tecnología de la información que le brindarán asesoramiento y asistencia para que pueda demostrar a sus clientes el cumplimiento de los estándares y la dedicación a la seguridad de la información.
Para obtener más información sobre cómo ISMS.online puede ayudarlo a lograr sus objetivos ISO 2K7, llámenos al +44 (0)1273 041140.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
