¿Qué es Control 6.4?
ISO 27002:2022, Controlar 6.4. Proceso Disciplinario habla sobre la necesidad de que las organizaciones implementen algún tipo de proceso disciplinario que sirva como disuasivo para que el personal no cometa violaciones de seguridad de la información.
Este proceso debe comunicarse formalmente y diseñarse una sanción adecuada para los empleados y otras partes interesadas relevantes que cometan un delito. política de seguridad de la información violación.
Violación de seguridad de la información explicada
La violación de la política de seguridad de la información es un incumplimiento de las reglas o leyes que rigen el manejo adecuado de la información. Las organizaciones establecen políticas de seguridad de la información para proteger datos confidenciales, de propiedad y personales, como registros de clientes y números de tarjetas de crédito. Las políticas de seguridad de la información también incluyen políticas de seguridad informática que ayudan a garantizar la seguridad y la integridad de los datos almacenados en las computadoras.
Por ejemplo, si no tiene permiso de su supervisor para utilizar el correo electrónico de la empresa para enviar correos electrónicos personales, hacerlo puede resultar en una violación de la política de la empresa. Además, si comete un error al utilizar el equipo o el software de la empresa y causa daños al mismo o a los datos almacenados en él, eso también podría considerarse una violación de la política de seguridad de la información.
Si un empleado viola la política de seguridad de la información de una organización, él o ella podría estar sujeto a medidas disciplinarias o despido. En algunos casos, una empresa puede optar por no despedir a un empleado que infrinja su política de uso de la computadora, sino tomar otras medidas apropiadas para evitar futuras violaciones de la política de la empresa.
Tabla de atributos
Los controles se pueden agrupar mediante atributos. Cuando observa los atributos del control, puede relacionarlos más fácilmente con los requisitos y la terminología establecidos de la industria. Los siguientes atributos están bajo control 6.4.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de Recursos Humanos | #Gobernanza y Ecosistema |
| #Correctivo | #Integridad | #Responder | ||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 6.4?
El propósito del proceso disciplinario es garantizar que el personal y otras partes interesadas relevantes comprendan las consecuencias de una violación de la política de seguridad de la información.
Además de garantizar que los empleados y otras partes interesadas relevantes comprendan las consecuencias de las violaciones de las políticas de seguridad de la información, el control 6.4 está diseñado para disuadir y ayudar a tratar con aquellos que violan estas políticas.
Un elemento clave de un programa de seguridad de la información eficaz es la capacidad de implementar acciones disciplinarias apropiadas para los empleados que violan las políticas y procedimientos de seguridad de la información. Por aquí, Los empleados son conscientes de las consecuencias. de violar políticas y procedimientos establecidos, reduciendo así el potencial de violaciones de datos intencionales o accidentales.
Los siguientes son ejemplos de actividades que pueden incluirse al implementar este control:
- Realizar sesiones periódicas de capacitación sobre cambios de políticas;
- Diseñar acciones disciplinarias por incumplimiento de las políticas de seguridad de la información;
- Proporcionar una copia de los procedimientos disciplinarios de la organización a cada empleado;
- Asegúrese de que los procedimientos disciplinarios se sigan consistentemente en situaciones similares.
Las acciones disciplinarias detalladas en el marco/documento deben tomarse inmediatamente después de un incidente, para disuadir a otros que quieran violar las políticas de la organización.
Qué implica y cómo cumplir los requisitos
Para cumplir con los requisitos del control 6.4, se deben tomar medidas disciplinarias cuando haya evidencia de incumplimiento de las políticas, procedimientos o regulaciones de la organización. Esto incluye el incumplimiento de la legislación y normativa que sean de aplicación a la organización.
Según el control 6.4, el proceso disciplinario formal debe prever una respuesta gradual que tenga en cuenta los siguientes factores:
- La naturaleza (quién, qué, cuándo, cómo), gravedad y consecuencias del incumplimiento;
- Si el delito fue malicioso (intencional) o no intencional (accidental);
- Si se trata de la primera o segunda infracción;
- Si el infractor recibió o no la formación adecuada.
La acción debe tener en cuenta todas las obligaciones legales, legislativas, regulatorias, contractuales y corporativas pertinentes, así como cualquier otra circunstancia pertinente.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Cambios y diferencias con respecto a ISO 27002:2013
Si está familiarizado con la norma ISO 27002:2013, sabrá que aunque se ha cambiado la identidad/número de control, el control 6.4 en ISO 27002:2022 no es exactamente un control nuevo. Más bien, es una versión modificada del control 7.2.3 en ISO 27002:2013.
Dicho esto, no hay diferencias significativas entre los dos controles en ambas versiones de ISO 27002. La pequeña diferencia que notará es que el número de control se cambió de 7.23 a 6.4. Además, en la versión 2022 del estándar se ha incluido la tabla de atributos y la declaración de propósito. Estas dos características no están en la versión 2013.
Aparte de su diferente redacción, estos controles son básicamente idénticos en términos de contenido y contexto. Fácil de usar La terminología se utilizó en ISO 27002:2022. para garantizar que los usuarios de la norma puedan comprender mejor su contenido.
¿Quién está a cargo de este proceso?
En la mayoría de los casos, el proceso disciplinario está a cargo del gerente de departamento o recursos humanos representante. No es raro que el representante de recursos humanos delegue la Responsabilidad de la acción disciplinaria hacia alguien más en la organización., como un especialista en seguridad de la información.
El objetivo principal de la acción disciplinaria es proteger a la organización contra futuras violaciones por parte del empleado. También pretende evitar que se produzcan situaciones similares. incidentes recurrentes asegurando que todos los empleados comprendan la importancia de las violaciones de seguridad de la información.
Para garantizar que se tomen medidas disciplinarias contra un empleado que ha violado las políticas o procedimientos de una organización, es importante que existan pautas claras para manejar tales situaciones. Estas directrices deben incluir instrucciones específicas sobre cómo realizar investigaciones y las acciones que deben tomarse una vez completadas las investigaciones.
¿Qué significan estos cambios para usted?
Si se pregunta qué significan estos cambios para usted, aquí tiene un breve desglose de los puntos más importantes:
- No es un cambio significativo, por lo que no es necesario volver a certificarse.
- Puede conservar su certificación existente hasta que caduque (si aún es válida).
- No hay cambios importantes en el contenido de la norma ISO 27002.
- La atención se centra más en actualizar el estándar para alinearlo con las mejores prácticas y estándares actuales.
La estructura de la norma permanece sin cambios. Sin embargo, algunos controles se han modificado para aclarar su significado o mejorar la coherencia con otras partes de la norma.
Sin embargo, si tiene la intención de obtener la certificación SGSI, es posible que deba examinar sus procedimientos de seguridad para verificar que cumplan con el estándar revisado.
Para obtener más información sobre cómo la nueva ISO 27002 puede afectar sus operaciones de seguridad de la información y ISO 27001 certificación, consulte nuestra guía gratuita ISO 27002:2022.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.Online
ISMS.Online es la norma ISO 27002 líder Software de sistema de gestión que respalda el cumplimiento. con ISO 27002, y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.
La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar una sistema de gestión de la seguridad de la información (SGSI) según ISO 27002.
Estas herramientas incluyen:
- Una biblioteca de plantillas para documentos corporativos comunes;
- Un conjunto de políticas y procedimientos predefinidos;
- An herramienta de auditoría para apoyar las auditorías internas;
- Una interfaz para personalizar ISMS Policias y procedimientos;
- Un flujo de trabajo de aprobación para todos los cambios realizados en políticas y procedimientos;
- Una lista de verificación para asegurarse de que sus políticas y procesos de seguridad de la información sigan los estándares internacionales aprobados.
ISMS.Online también permite a los usuarios:
- Gestionar todos los aspectos del SGSI. ciclo de vida con facilidad.
- Obtenga información en tiempo real sobre su postura de seguridad y brechas de cumplimiento.
- Integre con otros sistemas como recursos humanos, finanzas y gestión de proyectos.
- Demuestran cumplimiento de su SGSI con las normas ISO 27001.
ISMS.Online también brinda orientación sobre cómo implementar mejor su SGSI al brindar consejos sobre cómo crear políticas y procedimientos relacionados con aspectos como la gestión de riesgos, la capacitación en concientización sobre la seguridad del personal y la planificación de respuesta a incidentes.
Nuestra plataforma ha sido diseñado desde cero con la ayuda de expertos en seguridad de la información de todo el mundo, y lo hemos desarrollado de una manera que facilita su uso para personas sin ningún conocimiento técnico sobre sistemas de gestión de seguridad de la información (SGSI).
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
