El uso de dispositivos de medios de almacenamiento, como unidades de estado sólido (SSD), memorias USB, unidades externas y teléfonos móviles, es vital para muchas operaciones críticas de procesamiento de información, como la copia de seguridad, el almacenamiento y la transferencia de información.
Sin embargo, el almacenamiento de datos sensibles y críticos La información contenida en estos dispositivos introduce riesgos para la integridad., confidencialidad y disponibilidad de los activos de información. Estos riesgos pueden incluir pérdida o robo de medios de almacenamiento que contienen información confidencial, propagación de malware a todas las redes informáticas corporativas a través de los medios de almacenamiento y fallas y degradación de los dispositivos de medios de almacenamiento utilizados para realizar copias de seguridad de los datos.
El Control 7.10 aborda cómo las organizaciones pueden establecer procedimientos, políticas y controles apropiados para mantener la seguridad de los medios de almacenamiento durante todo su ciclo de vida, desde su adquisición hasta su eliminación.
Control 7.10 permite a las organizaciones eliminar y mitigar los riesgos de acceso no autorizado, uso, eliminación, modificación y transferencia de información confidencial alojada en dispositivos de medios de almacenamiento al establecer procedimientos para el manejo de los medios de almacenamiento a lo largo de todo su ciclo de vida.
El Control 7.10 es un tipo de control preventivo que requiere que las organizaciones creen, implementen y mantengan procedimientos y medidas para garantizar la seguridad de los dispositivos de medios de almacenamiento desde su adquisición hasta su disposición.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física #Gestión de activos | #Proteccion |
El Control 7.10 se aplica tanto a los medios de almacenamiento físicos como a los digitales. Por ejemplo almacenamiento de información en archivos físicos también está cubierto por el Control 7.10.
Además, junto con los medios de almacenamiento extraíbles, los medios de almacenamiento fijos, como los discos duros, también están sujetos al Control 7.10.
El Control 7.10 requiere que las organizaciones creen e implementen procedimientos apropiados, controles técnicos y políticas para toda la organización sobre el uso de medios de almacenamiento basados en el propio esquema de clasificación de la organización y sus requisitos de manejo de datos, como las obligaciones legales y contractuales.
Teniendo esto en cuenta, los gerentes de seguridad de la información deben ser responsables de todo el proceso de cumplimiento.
Si bien los medios de almacenamiento extraíbles son esenciales para muchas operaciones comerciales y la mayoría del personal los utiliza comúnmente, presentan el mayor grado de riesgo para la información confidencial.
Control 7.10 enumera diez requisitos que las organizaciones deben cumplir para la gestión de medios de almacenamiento extraíbles durante todo su ciclo de vida:
Control 7.10 proporciona orientación separada sobre la reutilización y eliminación segura de medios de almacenamiento para que las organizaciones puedan mitigar y eliminar los riesgos que comprometen la confidencialidad de la información.
El Control 7.10 destaca que las organizaciones deben definir y aplicar procedimientos para la reutilización y eliminación de los medios de almacenamiento, teniendo en cuenta el nivel de sensibilidad de la información contenida en los medios de almacenamiento.
Al establecer estos procedimientos, las organizaciones deben considerar lo siguiente:
Por último, pero no menos importante, el Control 7.10 requiere que las organizaciones lleven a cabo una Evaluación de riesgos en equipos dañados que almacenan información confidencial. decidir si el equipo debe ser destruido en lugar de reparado.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
27002:2022/7.10 reemplaza a 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Hay cuatro diferencias clave que es necesario destacar:
Mientras que la versión de 2013 contenía tres controles sobre la gestión de medios, eliminación de medios y transferencia de medios físicos, la Versión 2022 combina estos tres controles bajo el Control 7.10.
A diferencia de la versión 2013 que solo abordaba la eliminación segura de los medios de almacenamiento, la versión 2022 también aborda la reutilización segura de los medios de almacenamiento.
La versión 2013 implicó requisitos más completos para la transferencia física de medios de almacenamiento. Por ejemplo, la versión de 2013 incluía normas sobre verificación de identidad para mensajeros y normas de embalaje.
El Control 7.10 en la Versión 2022, por otro lado, solo establecía que las organizaciones deben actuar con diligencia al elegir proveedores de servicios como los mensajeros.
Si bien las versiones 2022 y 2013 son similares en gran medida en términos de requisitos para medios de almacenamiento extraíbles, la versión 2022 introduce el requisito de establecer una política temática específica sobre medios de almacenamiento extraíbles. La versión de 2013, en cambio, no cubría este requisito.
El Plataforma en línea ISMS utiliza un enfoque basado en riesgos combinado con las mejores prácticas y plantillas líderes en la industria para ayudarlo a identificar los riesgos que enfrenta su organización y los controles necesarios para gestionar esos riesgos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como sus costos de cumplimiento.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |