¿Qué es el Control 5.8 – Seguridad de la Información en la Gestión de Proyectos?
El Control 5.8 cubre la necesidad de que las organizaciones garanticen que La seguridad de la información está integrada en la gestión de proyectos..
Seguridad de la información explicada
Seguridad de la información, a veces abreviada como INFOSEC, es la práctica de defender la información del acceso, uso, divulgación, interrupción, modificación, lectura, inspección, registro o destrucción no autorizados. Es un término general que se puede utilizar independientemente de la forma que adopten los datos (por ejemplo, electrónica, física).
El objetivo principal de la seguridad de la información es la protección equilibrada de la confidencialidad, integridad y disponibilidad de los datos (también conocida como la tríada de la CIA) manteniendo al mismo tiempo un enfoque en la implementación eficiente de políticas, todo ello sin obstaculizar la productividad de la organización.
Este campo cubre todos los procesos y mecanismos mediante los cuales los equipos, la información y los servicios digitales se protegen del acceso, cambio o destrucción no intencionados o no autorizados. Los profesionales de la seguridad de la información trabajan en muchas industrias diferentes, desde las finanzas hasta el gobierno, la atención médica, la academia y desde pequeñas empresas unipersonales hasta grandes organizaciones multinacionales.
Gestión de proyectos explicada
La gestión de proyectos es una gran parte del negocio. Se trata de planificar, organizar y gestionar recursos para la consecución de un objetivo específico.
La gestión de proyectos se centra en un proyecto, que es un trabajo identificado que requiere aportaciones de varias personas o grupos para producir resultados específicos.
Básicamente, se trata de determinar el objetivo del proyecto y dividirlo en varias subtareas. Luego, un gerente de proyecto trabaja con el equipo para completar cada tarea a tiempo para lograr el objetivo general.
La gestión de proyectos puede parecer algo que sólo necesita una gran corporación. Pero es valioso para cualquier tipo de negocio. Después de todo, incluso las pequeñas empresas tienen proyectos que deben completar.
Seguridad de la información en la gestión de proyectos
A medida que más y más empresas manejan sus actividades en línea, no sorprende que la seguridad de la información en la gestión de proyectos se haya convertido en un tema candente. Los directores de proyectos se enfrentan a un número cada vez mayor de personas que trabajan fuera de la oficina, así como a empleados que utilizan sus dispositivos personales con fines laborales.
Al crear un política de seguridad para su negocio, podrá minimizar el riesgo de violación o pérdida de datos y asegurarse de poder producir informes precisos sobre el estado y las finanzas del proyecto en cualquier momento.
La mejor manera de incluir Seguridad de la información en el proceso de planificación y ejecución de proyectos. es:
- Definir los requisitos de seguridad de la información para el proyecto, incluidas las necesidades comerciales y las obligaciones legales.
- Evaluar los impactos del riesgo de la seguridad de la información. amenazas.
- Gestionar los impactos de los riesgos mediante la implementación de controles y procesos adecuados.
- Monitorear e informar sobre la efectividad de estos controles.
Para proteger sus proyectos comerciales, debe asegurarse de que todos Los gerentes de proyectos son conscientes de la seguridad de la información. y sígalo mientras completan su trabajo.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Tabla de Atributos de Control 5.8
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria. En el control 5.8, los atributos son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Gobernancia | #Gobernanza y Ecosistema |
| #Integridad | #Proteger | #Proteccion | ||
| #Disponibilidad |
¿Cuál es el propósito del Control 5.8?
El propósito de esto El control según ISO 27002:2022 es garantizar la seguridad de la información. Los riesgos relacionados con los proyectos y los entregables se abordan eficazmente en la gestión de proyectos durante todo el ciclo de vida del proyecto.
La seguridad de la información es una consideración clave para la gestión de proyectos y los proyectos.
El Control 5.8 cubre el control, el propósito y la guía de implementación para integrar la seguridad de la información en la gestión de proyectos de acuerdo con el marco definido por la norma ISO 27001.
Control 5.8 entiende que la gestión de proyectos requiere la coordinación de recursos, incluidos los activos de información, para lograr un objetivo comercial definido. Esto se debe a que los proyectos a menudo incluyen nuevos procesos y sistemas comerciales, que tienen implicaciones para la seguridad de la información.
Los proyectos también pueden abarcar múltiples departamentos y organizaciones, lo que significa que los objetivos de control 5.8, que consisten en garantizar que existan protocolos de seguridad de la información adecuados, deben coordinarse entre las partes interesadas internas y externas.
Este control puede verse como una guía que identifica problemas de seguridad de la información en los proyectos y garantiza que estos problemas se aborden durante todo el ciclo de vida del proyecto.
Qué implica y cómo cumplir los requisitos
Es importante integrar la seguridad de la información en la gestión de proyectos porque esto brinda a las organizaciones la oportunidad de garantizar que los riesgos de seguridad de la información se identifiquen, evalúen y aborden como parte de la gestión del proyecto.
Por ejemplo, si una organización desea implementar un nuevo sistema de desarrollo de productos, puede identificar los riesgos de seguridad de la información asociados con un nuevo sistema de desarrollo de productos (como la divulgación no autorizada de información patentada de la empresa) y tomar medidas para mitigar esos riesgos.
Por lo tanto, para cumplir con los requisitos de la nueva norma ISO 27002:2022, el gerente de seguridad de la información debe trabajar con el gerente del proyecto para garantizar que el riesgo de seguridad de la información se identifique, evalúe y aborde como parte de los procesos de gestión del proyecto. La seguridad de la información debe integrarse en la gestión de proyectos para que sea una "parte del proyecto" en lugar de algo que se haga "al proyecto".
Según el control 5.8, la gestión de proyectos en uso debería exigir que:
- Los riesgos de seguridad de la información se evalúan y tratan en una etapa temprana y periódicamente como parte de los riesgos del proyecto durante todo el ciclo de vida del proyecto.
- Los requisitos de seguridad de la información [por ejemplo, requisitos de seguridad de las aplicaciones (8.26), requisitos para cumplir con los derechos de propiedad intelectual (5.32), etc.] se abordan en las primeras etapas de
de proyectos. - Los riesgos de seguridad de la información asociados con la ejecución de proyectos, como la seguridad de los aspectos de comunicación interna y externa, se consideran y tratan durante todo el ciclo de vida del proyecto.
- Se revisa el progreso en el tratamiento de riesgos de seguridad de la información y se evalúa y prueba la eficacia del tratamiento.
El Gerente de Proyecto (PM) debe determinar los requisitos de seguridad de la información para todo tipo de proyectos, independientemente de su complejidad, tamaño, duración, disciplina o área de aplicación, no sólo proyectos de desarrollo TIC. Los PM deben ser conscientes de Política de seguridad de la información y procedimientos relacionados, y la importancia de la seguridad de la información.
Se pueden encontrar más detalles sobre las directrices de implementación en la norma ISO 27002:2022 revisada.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Diferencias entre ISO 27002:2013 e ISO 27002:2022
La seguridad de la información en la gestión de proyectos se revisó en ISO 27002:2022 para reflejar más aclaraciones en la guía de implementación en comparación con la de ISO 27002:2013. Por ejemplo, en ISO 27002:2013, hay 3 puntos que todo director de proyecto debe conocer ya que afecta la seguridad de la información. Pero en la versión 2022, esto se amplió a 4 puntos.
Además, el control 5.8 en ISO 27002:2022 no es un control nuevo, sino que es una combinación de los controles 6.1.5 y 14.1.1 en ISO 27002:2013.
El control 14.1.1 en ISO 27002:2013 habla de Requisitos relacionados con la seguridad de la información para nuevos sistemas de información. o mejoras a los sistemas de información existentes. Los lineamientos de implementación para el control 14.1.1 son similares a la sección del control 5.8 que habla sobre garantizar que la arquitectura y el diseño de los sistemas de información estén protegidos contra amenazas conocidas basadas en el entorno operativo.
Control 5.8, aunque no es un control nuevo, trae algunos cambios importantes al estándar. Además, la combinación de los dos controles de ISO 27002:2022 hace que el estándar sea más fácil de usar.
¿Quién está a cargo de este proceso?
El Gerente de Proyecto (PM) es responsable de garantizar que la seguridad de la información se implemente en el ciclo de vida de cada proyecto. Sin embargo, al PM le puede resultar útil consultar a un Oficial de seguridad de la información (ISO) para decidir qué requisitos de seguridad de la información son necesarios para diferentes tipos de proyectos.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué significan estos cambios para usted?
No hay cambios en el Norma ISO/IEC 27001, por lo que no es necesario actualizar el SGSI existente. Además, existe un período de gracia de dos años antes de que las organizaciones deban adoptar el nuevo estándar.
Sin embargo, porque Anexo A de ISO/IEC 27001 se combinará con los nuevos controles ISO/IEC 27002 para finales de 2022, se recomienda que se completen las actividades basadas en la información actualmente disponible sobre los nuevos controles ISO/IEC 27002.
Por ejemplo, las organizaciones pueden:
- Eche un vistazo al alcance de su SGSI.
- Actualizar la política de seguridad de la información de la organización y todas las demás normas para garantizar que se implementen las referencias y controles relevantes.
- Asegúrese de comprender su posición en relación con los nuevos controles y la nueva estructura del estándar realizando una evaluación de las deficiencias.
- Incorpore los nuevos controles de seguridad de la información en su enfoque de evaluación de riesgos.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.online, una plataforma basada en la nube para la implementación de ISO 27002, le ayuda a gestionar sus procesos de gestión de riesgos de seguridad de la información de forma fácil y eficaz.
Con nuestra plataforma basada en la nube, tendrá acceso a una biblioteca de políticas, procedimientos, instrucciones de trabajo y formularios escritos previamente y listos para usted.
La pestaña Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con sus riesgos y necesidades específicas de la organización. También permite la colaboración entre colegas y socios externos, como proveedores o auditores externos.
Al utilizar una aplicación web diseñada específicamente para ayudar a las empresas a implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001, no solo ahorrará tiempo, sino que también aumentará la seguridad de su organización.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
