¿Qué es Control 7.1?
El control 7.1 de la nueva ISO 27002:2022 cubre la necesidad de que las organizaciones definan y establezcan perímetros de seguridad y utilicen estos parámetros para proteger áreas que contienen información y otros activos asociados.
Información y activos de seguridad de la información explicados
La información se puede definir como cualquier dato, información o conocimiento que tenga valor para su organización o negocio. Esto incluye cualquier información recopilada sobre individuos, clientes, socios, empleados y otras partes interesadas.
Los activos de seguridad de la información se pueden dividir a grandes rasgos en:
Fecha
A menudo se confunden datos con información pero existe una diferencia entre datos e información. Los datos son brutos, no procesados y, a menudo, inutilizables en su estado actual, mientras que la información son datos que se han procesado en piezas de información utilizables, como una dirección de correo electrónico o un número de teléfono.
Infraestructura
La infraestructura se refiere a todos los componentes que componen una red, incluidos servidores y otros dispositivos como impresoras y enrutadores, etc.
La infraestructura también puede incluir software, como sistemas operativos y aplicaciones, que deben protegerse contra ataques cibernéticos tanto como el hardware, ya que ambos deben mantenerse actualizados con parches y soluciones para las vulnerabilidades descubiertas por los piratas informáticos para que no puedan ser explotado por piratas informáticos malintencionados que desean obtener acceso a datos confidenciales.
Perímetros de seguridad física explicados
La seguridad física se refiere a todas las medidas físicas que protegen las instalaciones y activos de una organización. La seguridad física es la parte más básica e importante de la seguridad de la información. No se trata sólo de cerrar la puerta con llave, sino también de saber quién tiene acceso a qué, cuándo, dónde y cómo.
Los perímetros de seguridad física se utilizan para identificar los límites físicos de un edificio o área y controlar el acceso al mismo. Los perímetros de seguridad física pueden incluir vallas, muros, puertas y otras barreras que impidan el acceso no autorizado de personas o vehículos. Además de las barreras físicas, se pueden utilizar equipos de vigilancia electrónica, como cámaras de televisión de circuito cerrado, para monitorear la actividad fuera de las instalaciones.
Los perímetros de seguridad física proporcionan una primera línea de defensa contra intrusos que podrían intentar ingresar a su sistema informático a través del cable de red o la conexión inalámbrica de una organización. A menudo se utilizan junto con otros tipos de controles de seguridad de la información, como sistemas de gestión de identidad, control de acceso y detección de intrusiones.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Tabla de Atributos de Control 7.1
Los atributos son una forma de clasificar los controles. Los atributos le permiten hacer coincidir rápidamente su selección de control con las especificaciones y terminología típicas de la industria. Los siguientes controles están disponibles en el control 7.1.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad física | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
El Control 7.1 garantiza que una organización pueda demostrar que cuenta con perímetros de seguridad física adecuados para evitar el acceso físico no autorizado a la información y otros activos asociados.
Esto incluye prevenir:
- Entrada no autorizada a edificios, salas o áreas que contengan activos de información;
- Remoción no autorizada de activos de las instalaciones;
- Uso no autorizado de activos en las instalaciones (por ejemplo, computadoras y dispositivos relacionados con computadoras); y
- Acceso no autorizado a equipos de comunicaciones electrónicas como teléfonos, máquinas de fax y terminales de computadora (por ejemplo, manipulación no autorizada).
Los perímetros de seguridad física se pueden implementar a través de las dos categorías siguientes:
Control de acceso físico: Proporciona controles sobre el ingreso a instalaciones y edificios, así como el movimiento dentro de los mismos. Estos controles incluyen cerrar puertas, usar alarmas en las puertas, usar cercas o barreras alrededor de las instalaciones, etc.
Seguridad de hardware: proporciona controles sobre los equipos físicos (por ejemplo, computadoras) utilizados por una organización para procesar datos como impresoras y escáneres que pueden contener información confidencial.
La implementación de este control también puede cubrir el uso no autorizado del espacio, equipo y suministros de las instalaciones para proteger la información y otros activos asociados, como documentos, registros y equipos confidenciales.
Qué implica y cómo cumplir los requisitos
Se deben considerar e implementar las siguientes pautas cuando sea apropiado para los perímetros de seguridad física:
- Definir los perímetros de seguridad y la ubicación y fortaleza de cada uno de los perímetros de acuerdo con los requisitos de seguridad de la información relacionados con los activos dentro del perímetro.
- Tener perímetros físicamente sólidos para un edificio o sitio que contenga instalaciones de procesamiento de información (es decir, no debe haber espacios en el perímetro o áreas donde pueda ocurrir fácilmente un robo).
- Los techos, paredes, techos y pisos exteriores del sitio deben ser de construcción sólida y todas las puertas externas deben estar adecuadamente protegidas contra el acceso no autorizado con mecanismos de control (por ejemplo, rejas, alarmas, cerraduras).
- Las puertas y ventanas deberían cerrarse con llave cuando no estén vigiladas y se debería considerar la posibilidad de proteger las ventanas desde el exterior, especialmente a nivel del suelo; También se deben considerar los puntos de ventilación.
Puede obtener más información sobre lo que implica cumplir con los requisitos para el control en el documento estándar ISO 27002:2022.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Cambios y diferencias con respecto a ISO 27002:2013
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
Se agregaron 11 nuevos controles a esta versión de ISO 27002. Sin embargo, el control 7.1 no es un control nuevo, sino que es una versión modificada del control 11.1.1 en la versión 2013 de ISO 27002. La principal diferencia entre 2013 y 2022 La versión es el cambio de número de control.
El número de control 11.1.1 fue reemplazado por 7.1. Aparte de eso, el contexto y el significado son en gran medida similares, aunque la fraseología sea diferente.
Otra diferencia entre ambos controles es que los requisitos de implementación se redujeron en la versión 2022.
Los siguientes requisitos que están disponibles en el control 11.1.1 de ISO 27002:2013 faltan en el control 7.1:
- Debería existir un área de recepción con personal u otros medios para controlar el acceso físico al sitio o edificio.
- El acceso a sitios y edificios debe restringirse únicamente al personal autorizado.
- Cuando corresponda, se deben construir barreras físicas para evitar el acceso físico no autorizado y la contaminación ambiental.
- Se deben instalar sistemas de detección de intrusos adecuados según las normas nacionales, regionales o internacionales y probarlos periódicamente para cubrir todas las puertas exteriores y ventanas accesibles.
- Las áreas desocupadas deben estar alarmadas en todo momento.
- También se deberían proporcionar cobertura para otras áreas, por ejemplo, salas de ordenadores o salas de comunicaciones.
- Las instalaciones de procesamiento de información administradas por la organización deben estar físicamente separadas de aquellas administradas por partes externas.
Estas omisiones no hacen de ninguna manera que el nuevo estándar sea menos efectivo, sino que se eliminaron para que el nuevo control sea más fácil de usar.
¿Quién está a cargo de este proceso?
El director de información es la persona a cargo de la seguridad de la información. Esta persona es responsable de implementar políticas y procedimientos para proteger los datos y sistemas de la empresa. El CIO normalmente trabaja con otros ejecutivos, como el director financiero y el director ejecutivo, para garantizar que se tengan en cuenta las medidas de seguridad durante las decisiones comerciales.
El director financiero también participa en la toma de decisiones relativas a los perímetros de seguridad física. Él o ella trabaja con otros miembros de la alta dirección, incluido el CIO, para determinar cuánto dinero debe asignarse a medidas de seguridad física como cámaras de vigilancia, controles de acceso y alarmas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué significan estos cambios para usted?
La nueva ISO 27002:2022 no es una revisión importante. Por lo tanto, no es necesario implementar ningún cambio importante para cumplir con la última versión de ISO 27002.
Sin embargo, debería considerar revisar su implementación actual y asegurarse de que se alinee con los nuevos requisitos. En particular, si ha realizado algún cambio desde que se publicó la versión anterior en 2013, vale la pena volver a revisar esos cambios para ver si todavía son válidos o si es necesario modificarlos.
Dicho esto, puede obtener más información sobre cómo la nueva ISO 27002 afectará sus procesos de seguridad de la información y la certificación ISO 27001 leyendo nuestra guía ISO 27002:2022.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.Online
ISMS.online también puede ayudar a demostrar el cumplimiento de la norma ISO 27002 proporcionándole un sistema en línea que le permite almacenar todos sus documentos en un solo lugar y ponerlos a disposición de cualquiera que los necesite. El sistema también le permite crear listas de verificación para cada documento, de modo que sea fácil para todos los involucrados en realizar cambios o revisar documentos ver qué se debe hacer a continuación y cuándo se debe hacer.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
