¿Qué es Control 6.6?
El control 6.6 de la norma ISO 27002:2022 cubre la necesidad de que las organizaciones eviten la fuga de información confidencial estableciendo acuerdos de confidencialidad con las partes interesadas y el personal.
Las organizaciones deben determinar los términos de sus acuerdos con otras partes basándose en la requisitos de seguridad de la información de la organización, teniendo en cuenta el tipo de información a tratar, su nivel de clasificación, su uso previsto y el acceso permitido por la otra parte.
Acuerdos de confidencialidad o no divulgación explicados
Un acuerdo de confidencialidad o no divulgación (NDA) es un documento legal que impide la divulgación de secretos comerciales y otra información confidencial.
Confidencial La información puede incluir el plan de negocios de la empresa., datos financieros, listas de clientes y otra información patentada. Estos acuerdos se pueden utilizar en una amplia gama de situaciones, que incluyen:
- Oportunidades de Empleo – Un acuerdo de confidencialidad puede ser parte del contrato de trabajo de un nuevo empleado. El acuerdo garantiza que el empleado no revele ninguna información confidencial sobre la empresa, sus productos o servicios, empleados o proveedores. Las empresas también utilizan acuerdos de confidencialidad para evitar que sus empleados revelen información confidencial después de dejar sus trabajos.
- Transacciones de negocios – Los acuerdos de confidencialidad suelen incluirse en transacciones comerciales, como la compra de una empresa, la fusión con otra empresa o la venta de un negocio. El propósito de estos acuerdos es evitar que ambas partes revelen cualquier información confidencial obtenida durante la transacción.
- Socios comerciales – Los acuerdos de confidencialidad se utilizan a menudo en transacciones comerciales cuando una parte quiere proteger sus relaciones existentes con clientes o proveedores para que no sean reveladas a un nuevo socio. Por ejemplo, si una empresa busca financiación de capitalistas de riesgo, puede pedirles a esos inversores que firmen acuerdos de confidencialidad para proteger la información de propiedad sobre los productos o servicios de la empresa.
Las asociaciones a menudo incluyen cláusulas de confidencialidad como parte de su acuerdo de asociación, por lo que cada socio se compromete a no revelar ninguna información confidencial obtenida durante su asociación.
Objeto de los acuerdos de confidencialidad
Los acuerdos de confidencialidad los celebran tanto personas como empresas. Tienen muchos propósitos, tales como:
- Proteger los secretos comerciales y la información patentada de competidores que de otro modo podrían utilizarla en su contra;
- Evitar que un empleado comparta información confidencial de la empresa con otra empresa; y
- Proteger los derechos de propiedad intelectual (PI), como patentes y derechos de autor.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Tabla de Atributos de Control 6.6
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Los atributos para el control 6.6 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de activos | #Proteccion |
| #Integridad | #Protección de la información | |||
| #Disponibilidad | #Seguridad física | |||
| #Seguridad del sistema y de la red |
¿Cuál es el propósito del Control 6.6?
El Control 6.6 debe implementarse para garantizar la seguridad de la información cuando el personal, los socios y los proveedores trabajan con una organización.
Este control tiene como objetivo salvaguardar la información de la organización e informar a los firmantes de su responsabilidad manejar y proteger la información de forma responsable y autorizada. También se utiliza como herramienta para proteger los derechos de propiedad intelectual, como patentes, marcas comerciales, secretos comerciales y derechos de autor.
Es importante que los empleadores cuenten con un acuerdo de confidencialidad antes de revelar cualquier información confidencial a un empleado o contratista. El acuerdo establecerá qué tan estrechamente debe proteger el individuo la información a la que está expuesto y cuánto tiempo durará el período de confidencialidad una vez finalizado el empleo.
Control 6.6 Explicado
Control 6.6 tiene como objetivo proteger la propiedad intelectual y los intereses comerciales de su organización al evitar la divulgación de información confidencial a terceros. Se refiere a un contrato legal o un acuerdo entre su organización y sus empleados, socios, contratistas, proveedores y otros terceros. que rige el uso de información confidencial.
La información confidencial es cualquier información que no se haya puesto a disposición del público ni de otras empresas de una industria similar. Los ejemplos incluyen secretos comerciales, listas de clientes, fórmulas y planes de negocios.
El control debe implementarse al evaluar si un tercero tendrá acceso a datos personales sensibles, y si es necesario tomar medidas para garantizar que no conserven ni sigan accediendo a los datos personales sensibles de la organización después de su partida.
Cuando una organización determina que un tercero está saliendo de la relación comercial y existe el riesgo de que, como resultado, se divulguen datos confidenciales de la organización o de la empresa, entonces la organización debe tomar medidas razonables antes de que ese tercero abandone, o tan pronto como sea posible. después de su partida, para evitar dicha divulgación.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Qué implica y cómo cumplir los requisitos
El control 6.6 significa que las partes del acuerdo no revelan información confidencial cubierta por el acuerdo. La información sólo podrá divulgarse con el consentimiento por escrito de la organización o de conformidad con una orden judicial. Esto es importante para proteger información confidencial sobre prácticas comerciales, propiedad intelectual e investigación y desarrollo.
Para cumplir con los requisitos del control 6.6, es necesario redactar cuidadosamente un acuerdo/contrato de “confidencialidad” y “no divulgación” de modo que cubra todos los secretos comerciales y aspectos sensibles de datos/información de los tratos y transacciones de la organización. Es importante que ambas partes comprendan sus obligaciones en virtud del contrato y sus deberes durante y después del final de la relación comercial.
También se puede incluir una cláusula de confidencialidad en otros contratos que se extienden más allá del final del empleo del empleado o del compromiso con terceros.
Es imperativo que la persona que abandona una relación comercial o cambia de trabajo transfiera sus responsabilidades y deberes de seguridad a una nueva persona, que se eliminen todas las credenciales de acceso y se cree una nueva.
Se deben considerar los siguientes elementos al identificar acuerdos de confidencialidad y no divulgación:
- Una descripción de la información que necesita ser protegida (por ejemplo, datos confidenciales);
- Duración de un acuerdo, incluidas situaciones en las que la confidencialidad debe mantenerse indefinidamente o hasta que la información se haga pública;
- Las acciones requeridas en caso de terminación de un contrato;
- Responsabilidades y acciones que los firmantes deben tomar para evitar la divulgación no autorizada de información;
- Cómo la propiedad de la información, los secretos comerciales y la propiedad intelectual afecta la confidencialidad;
- El uso permitido de información confidencial, junto con los derechos del firmante a utilizarla;
- El derecho a monitorear o actividades de auditoría que involucran información altamente sensible;
- El procedimiento para notificar y denunciar divulgaciones no autorizadas o fugas de información confidencial;
- Los términos para devolver o destruir información tras la terminación del acuerdo;
- Las acciones a tomar si no se cumple el acuerdo.
La organización debe garantizar que los acuerdos de confidencialidad y no divulgación cumplan con las leyes de la jurisdicción donde se aplican.
Se debe realizar una revisión de los acuerdos de confidencialidad y no divulgación periódicamente y siempre que los cambios afecten sus requisitos.
Más información sobre cómo funciona esto está disponible en el documento estándar ISO 27002:2022.
Cambios y diferencias con respecto a ISO 27002:2013
Control 6.6 en la nueva ISO 27002:2022 No es un control nuevo, sino una versión modificada del control 13.2.4 en ISO 27002:2013.
Si bien estos dos controles contienen características similares, difieren ligeramente. Por ejemplo, si bien las pautas de implementación en ambas versiones son similares, no son idénticas.
El Primer parte de la guía de implementación en el control 13.2.4 de la norma ISO 27002:2013 establece que:
“Los acuerdos de confidencialidad o de no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a partes externas o empleados de la organización. Los elementos deben seleccionarse o agregarse teniendo en cuenta el tipo de la otra parte y su acceso permitido o manejo de información confidencial”.
El mismo apartado en el control 6.6 de la norma ISO 27002:2022 establece que:
“Los acuerdos de confidencialidad o no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Son aplicables acuerdos de confidencialidad o no divulgación a las partes interesadas y al personal de la organización.
Con base en los requisitos de seguridad de la información de una organización, los términos de los acuerdos deben determinarse teniendo en cuenta el tipo de información que se manejará, su nivel de clasificación, su uso y el acceso permitido por la otra parte”.
Ambos controles, aunque difieren en significado semántico, tienen estructura y función similares en sus respectivos contextos. Sin embargo, el control 6.6 utiliza un lenguaje más simplificado y fácil de usar para que el contenido y el contexto sean más fáciles de entender. Esto significa que quienes utilizarán el estándar podrán identificarse con su contenido más fácilmente.
Además, la versión 2022 de ISO 27002 incluye declaraciones de propósito y tablas de atributos para cada control, que ayudan a los usuarios a comprender e implementar los controles de manera más efectiva. Estas dos secciones no están disponibles en la edición de 2013.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
¿Quién está a cargo de este proceso?
Según el control 6.6 de la norma ISO 27002, el departamento de recursos humanos suele gestionar la redacción e implementación del acuerdo de confidencialidad o no divulgación en la mayoría de las organizaciones, lo que implica colaborar con el director o departamento supervisor del tercero en cuestión.
El gerente supervisor podría ser el Oficial de Seguridad de la Información, el gerente de ventas o de producción.
Estos departamentos y jefes también son responsables de garantizar que los proveedores externos utilizados por la organización tengan medidas de seguridad adecuadas para proteger la información confidencial contra divulgación o uso no autorizado.
Deben asegurarse de que todos los empleados firmen un acuerdo de confidencialidad cuando comiencen a trabajar para la empresa.
En la mayoría de los casos (dependiendo del tamaño de la organización), todos los empleados que tienen acceso a información confidencial firman acuerdos de confidencialidad o no divulgación.
Por lo general, esto incluye a cualquier empleado que trabaje en ventas, marketing, servicio al cliente u otros departamentos donde pueda entrar en contacto con información confidencial sobre clientes, clientes o proveedores.
En algunos casos, incluso si no existe un acuerdo escrito real entre dos partes, las organizaciones deben implementar políticas que exijan a los empleados firmar un acuerdo de confidencialidad antes de que se les permita el acceso a información confidencial sobre clientes o proveedores.
Algunos riesgos asociados con no contar con una política de acuerdo de confidencialidad adecuada incluyen:
- Los empleados pueden filtrar inadvertidamente información confidencial a alguien externo a la empresa que no debería tener acceso a ella, causando daños a la organización.
- Un empleado puede revelar datos confidenciales a un competidor.
- Un empleado descontento puede robar la propiedad intelectual (PI) de la empresa y utilizarla para su propio beneficio.
- Los empleados podrían dejar accidentalmente información confidencial en el escritorio de su computadora en el trabajo o en su computadora portátil en casa, que podría ser robada por un pirata informático.
¿Qué significan estos cambios para usted?
La norma ISO 27002:2013 no ha sufrido modificaciones significativas. El estándar solo se actualizó para facilitar su usabilidad. Las organizaciones que actualmente cumplen con la norma ISO 27002:2013 no necesitan tomar ninguna medida adicional para mantener el cumplimiento con el estándar.
Para cumplir con las revisiones de ISO 27002:2022, la organización puede considerar necesario realizar algunas modificaciones menores a sus procesos y procedimientos existentes, particularmente si es necesario volver a certificarse.
Para obtener más información sobre cómo estos cambios en el control 6.6 influirán en su organización, consulte nuestra guía sobre ISO 27002:2022.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.Online
ISO 27002 es un estándar de seguridad de la información ampliamente reconocido que proporciona un conjunto de requisitos para que una organización proteja la confidencialidad, integridad y disponibilidad de su información. La norma fue desarrollada por la Organización Internacional de Normalización (ISO), una organización no gubernamental que establece, revisa y publica normas internacionales.
ISMS.Online ayuda a las organizaciones y empresas a cumplir los requisitos de la norma ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de confidencialidad o no divulgación, los actualiza según sea necesario, los prueba y supervisa su eficacia.
Proporcionamos una plataforma basada en la nube para la gestión de Sistemas de Gestión de Confidencialidad y Seguridad de la Información, incluidas cláusulas de confidencialidad, gestión de riesgos, políticas, planes y procedimientos, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
ISMS.Online le permite:
- Documente sus procesos. Esta interfaz intuitiva le permite documentar sus procesos sin instalar ningún software en su computadora o red.
- Automatiza tu evaluación de riesgos .
- Demuestre el cumplimiento fácilmente con informes y listas de verificación en línea.
- Mantenga un registro del progreso mientras trabaja para obtener la certificación.
ISMS.Online ofrece una gama completa de características para ayudar a las organizaciones y empresas a lograr el cumplimiento del estándar industrial ISO 27001 y/o ISO 27002 ISMS.
Por favor contáctenos hoy para programa una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
