El control 7.1 de la nueva ISO 27002:2022 cubre la necesidad de que las organizaciones definan y establezcan perímetros de seguridad y utilicen estos parámetros para proteger áreas que contienen información y otros activos asociados.
La información se puede definir como cualquier dato, información o conocimiento que tenga valor para su organización o negocio. Esto incluye cualquier información recopilada sobre individuos, clientes, socios, empleados y otras partes interesadas.
Los activos de seguridad de la información se pueden dividir a grandes rasgos en:
A menudo se confunden datos con información pero existe una diferencia entre datos e información. Los datos son brutos, no procesados y, a menudo, inutilizables en su estado actual, mientras que la información son datos que se han procesado en piezas de información utilizables, como una dirección de correo electrónico o un número de teléfono.
La infraestructura se refiere a todos los componentes que componen una red, incluidos servidores y otros dispositivos como impresoras y enrutadores, etc.
La infraestructura también puede incluir software, como sistemas operativos y aplicaciones, que deben protegerse contra ataques cibernéticos tanto como el hardware, ya que ambos deben mantenerse actualizados con parches y soluciones para las vulnerabilidades descubiertas por los piratas informáticos para que no puedan ser explotado por piratas informáticos malintencionados que desean obtener acceso a datos confidenciales.
La seguridad física se refiere a todas las medidas físicas que protegen las instalaciones y activos de una organización. La seguridad física es la parte más básica e importante de la seguridad de la información. No se trata sólo de cerrar la puerta con llave, sino también de saber quién tiene acceso a qué, cuándo, dónde y cómo.
Los perímetros de seguridad física se utilizan para identificar los límites físicos de un edificio o área y controlar el acceso al mismo. Los perímetros de seguridad física pueden incluir vallas, muros, puertas y otras barreras que impidan el acceso no autorizado de personas o vehículos. Además de las barreras físicas, se pueden utilizar equipos de vigilancia electrónica, como cámaras de televisión de circuito cerrado, para monitorear la actividad fuera de las instalaciones.
Los perímetros de seguridad física proporcionan una primera línea de defensa contra intrusos que podrían intentar ingresar a su sistema informático a través del cable de red o la conexión inalámbrica de una organización. A menudo se utilizan junto con otros tipos de controles de seguridad de la información, como sistemas de gestión de identidad, control de acceso y detección de intrusiones.
Los atributos son una forma de clasificar los controles. Los atributos le permiten hacer coincidir rápidamente su selección de control con las especificaciones y terminología típicas de la industria. Los siguientes controles están disponibles en el control 7.1.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física | #Proteccion |
El Control 7.1 garantiza que una organización pueda demostrar que cuenta con perímetros de seguridad física adecuados para evitar el acceso físico no autorizado a la información y otros activos asociados.
Esto incluye prevenir:
Los perímetros de seguridad física se pueden implementar a través de las dos categorías siguientes:
Control de acceso físico: Proporciona controles sobre el ingreso a instalaciones y edificios, así como el movimiento dentro de los mismos. Estos controles incluyen cerrar puertas, usar alarmas en las puertas, usar cercas o barreras alrededor de las instalaciones, etc.
Seguridad de hardware: proporciona controles sobre los equipos físicos (por ejemplo, computadoras) utilizados por una organización para procesar datos como impresoras y escáneres que pueden contener información confidencial.
La implementación de este control también puede cubrir el uso no autorizado del espacio, equipo y suministros de las instalaciones para proteger la información y otros activos asociados, como documentos, registros y equipos confidenciales.
Se deben considerar e implementar las siguientes pautas cuando sea apropiado para los perímetros de seguridad física:
Puede obtener más información sobre lo que implica cumplir con los requisitos para el control en el documento estándar ISO 27002:2022.
El único cumplimiento
solución que necesitas
Reserva tu demostración
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
Se agregaron 11 nuevos controles a esta versión de ISO 27002. Sin embargo, el control 7.1 no es un control nuevo, sino que es una versión modificada del control 11.1.1 en la versión 2013 de ISO 27002. La principal diferencia entre 2013 y 2022 La versión es el cambio de número de control.
El número de control 11.1.1 fue reemplazado por 7.1. Aparte de eso, el contexto y el significado son en gran medida similares, aunque la fraseología sea diferente.
Otra diferencia entre ambos controles es que los requisitos de implementación se redujeron en la versión 2022.
Los siguientes requisitos que están disponibles en el control 11.1.1 de ISO 27002:2013 faltan en el control 7.1:
Estas omisiones no hacen de ninguna manera que el nuevo estándar sea menos efectivo, sino que se eliminaron para que el nuevo control sea más fácil de usar.
El director de información es la persona a cargo de la seguridad de la información. Esta persona es responsable de implementar políticas y procedimientos para proteger los datos y sistemas de la empresa. El CIO normalmente trabaja con otros ejecutivos, como el director financiero y el director ejecutivo, para garantizar que se tengan en cuenta las medidas de seguridad durante las decisiones comerciales.
El director financiero también participa en la toma de decisiones relativas a los perímetros de seguridad física. Él o ella trabaja con otros miembros de la alta dirección, incluido el CIO, para determinar cuánto dinero debe asignarse a medidas de seguridad física como cámaras de vigilancia, controles de acceso y alarmas.
La nueva ISO 27002:2022 no es una revisión importante. Por lo tanto, no es necesario implementar ningún cambio importante para cumplir con la última versión de ISO 27002.
Sin embargo, debería considerar revisar su implementación actual y asegurarse de que se alinee con los nuevos requisitos. En particular, si ha realizado algún cambio desde que se publicó la versión anterior en 2013, vale la pena volver a revisar esos cambios para ver si todavía son válidos o si es necesario modificarlos.
Dicho esto, puede obtener más información sobre cómo la nueva ISO 27002 afectará sus procesos de seguridad de la información y la certificación ISO 27001 leyendo nuestra guía ISO 27002:2022.
ISMS.online también puede ayudar a demostrar el cumplimiento de la norma ISO 27002 proporcionándole un sistema en línea que le permite almacenar todos sus documentos en un solo lugar y ponerlos a disposición de cualquiera que los necesite. El sistema también le permite crear listas de verificación para cada documento, de modo que sea fácil para todos los involucrados en realizar cambios o revisar documentos ver qué se debe hacer a continuación y cuándo se debe hacer.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |