ISO 27002:2022 control 5.3 — Segregación de funciones, anteriormente conocido como control 6.1.2 en ISO 27002:2013, define el sistema mediante el cual se separan funciones en conflicto y áreas de responsabilidad en conflicto.
Cada organización tiene un conjunto de políticas y procedimientos (P&P) que rigen su funcionamiento interno. Se supone que los P&P deben estar documentados, pero a menudo no es así.
Si estos P&P no son claros o no están bien comunicados, el resultado es confusión entre los empleados acerca de sus áreas de responsabilidad. Esto puede empeorar aún más cuando los empleados tienen responsabilidades superpuestas o áreas de responsabilidad en conflicto.
Los conflictos pueden ocurrir cuando dos o más empleados tienen responsabilidades similares o diferentes hacia una tarea en particular. Cuando esto sucede, los empleados pueden terminar haciendo lo mismo dos veces, o haciendo cosas diferentes que anulan los esfuerzos de los demás. Esto desperdicia recursos corporativos y reduce la productividad, lo que afecta tanto los resultados como la moral de la empresa.
Para asegurarse de que su organización no sufra este problema, es importante comprender cuáles son las áreas de responsabilidad conflictivas, por qué ocurren y cómo puede evitar que ocurran en su organización. En su mayor parte, esto significa separar tareas para que diferentes personas manejen diferentes roles en la organizacion.
Los controles se clasifican según sus atributos. Los atributos le ayudan a alinear su selección de controles con los estándares y el lenguaje de la industria. En el control 5.3 estos son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gobernanza #Gestión de identidad y acceso | #Gobernanza y Ecosistema |
El propósito del control 5.3 Segregación de funciones en ISO 27002 es reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información al garantizar que las funciones en conflicto estén separadas.
El Control 5.3 cubre la guía de implementación para la segregación de tareas y deberes en una organización de acuerdo con el marco de ISO 27001.
El principio implica dividir las tareas clave en subtareas y asignarlas a diferentes personas. Esto crea un sistema de controles y contrapesos que puede reducir el riesgo de errores o fraude.
El control está diseñado para evitar que una sola persona pueda cometer, ocultar y justificar acciones indebidas, disminuyendo así el riesgo de fraude o error. También evita que una sola persona pueda anular los controles de seguridad de la información.
Si un empleado tiene todos los derechos necesarios para una tarea en particular, existe un mayor riesgo de fraude o error, ya que una persona puede hacer todo sin controles ni contrapesos. Sin embargo, si ninguna persona tiene todos los derechos de acceso necesarios para una tarea particular, esto reduce el riesgo de que un empleado pueda causar daños o pérdidas financieras importantes.
Deberes y áreas de responsabilidades que no estén segregadas podrían dar lugar a fraude, uso indebido, acceso inadecuado y otros incidentes de seguridad.
Además, es necesaria la segregación de funciones para mitigar los riesgos asociados con la posibilidad de colusión entre personas. Estos riesgos aumentan cuando no hay controles suficientes para prevenir o detectar la colusión.
Para cumplir con los requisitos de control 5.3 de ISO 27002:2022, la organización debe determinar qué deberes y áreas de responsabilidad deben segregarse y establecer controles de segregación procesables.
Cuando tales controles no sean posibles, particularmente para organizaciones pequeñas con personal mínimo, el seguimiento de las actividades, pistas de auditoría y supervisión de la gestión puede ser usado. Para organizaciones más grandes, se pueden utilizar herramientas automatizadas para identificar y segregar roles de modo que no se asignen roles conflictivos a las personas.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
El control número 5.3 Segregación de funciones en ISO 27002:2022 no es un control nuevo. Es simplemente una versión mejorada del control 6.1.2 Segregación de funciones que se encuentra en la norma ISO 27002:2013.
Los fundamentos de la Segregación de funciones son los mismos tanto en el control 5.3 ISO 27002:2022 como en el control 6.1.2 ISO 27002:2013. Sin embargo, la nueva versión describe un conjunto de actividades que requieren segregación a la hora de implementar este control.
Estas actividades son:
a) iniciar, aprobar y ejecutar un cambio;
b) solicitar, aprobar e implementar derechos de acceso;
c) diseñar, implementar y revisar código;
d) desarrollar software y administrar sistemas de producción;
e) usar y administrar aplicaciones;
f) utilizar aplicaciones y administrar bases de datos;
g) diseñar, auditar y asegurar controles de seguridad de la información.
Hay varias personas responsables de la segregación de funciones en ISO 27002. Primero, un miembro senior del equipo de gestión debe participar para garantizar que la implementación inicial evaluación de riesgos se ha completado.
Luego, los procesos que cubren diferentes partes de la organización deben asignarse a diferentes grupos de empleados calificados. Para evitar que empleados deshonestos socaven la seguridad de la empresa, esto generalmente se hace asignando tareas a diferentes unidades de trabajo y departamentalizando las operaciones y actividades de mantenimiento relacionadas con TI.
Por último, la segregación de funciones no puede establecerse correctamente sin un programa de auditoría de TI adecuado, una estrategia eficaz de gestión de riesgos y un entorno de control apropiado.
La nueva norma ISO 27002:2022 no requiere que usted haga mucho más que actualiza tu SGSI procesos para reflejar los controles mejorados. Y si tu equipo no puede gestionar esto, SGSI.online puedo ayudarte.
ISMS.online agiliza el proceso de implementación de ISO 27002 al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Cuando utilice ISMS.online, podrá:
Gracias a nuestra plataforma basada en la nube, ahora es posible administrar de forma centralizada sus listas de verificación, interactuar con colegas y utilizar un conjunto integral de herramientas para ayudar a su organización a crear y operar un SGSI de acuerdo con las mejores prácticas mundiales.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
