ISO 27002:2022, Control 7.10 – Medios de almacenamiento

Controles revisados ​​ISO 27002:2022

Reserve una demostración

recortada,imagen,de,profesional,empresaria,trabajando,en,su,oficina,a través de

El uso de dispositivos de medios de almacenamiento, como unidades de estado sólido (SSD), memorias USB, unidades externas y teléfonos móviles, es vital para muchas operaciones críticas de procesamiento de información, como la copia de seguridad, el almacenamiento y la transferencia de información.

Sin embargo, el almacenamiento de datos sensibles y críticos La información contenida en estos dispositivos introduce riesgos para la integridad., confidencialidad y disponibilidad de los activos de información. Estos riesgos pueden incluir pérdida o robo de medios de almacenamiento que contienen información confidencial, propagación de malware a todas las redes informáticas corporativas a través de los medios de almacenamiento y fallas y degradación de los dispositivos de medios de almacenamiento utilizados para realizar copias de seguridad de los datos.

El Control 7.10 aborda cómo las organizaciones pueden establecer procedimientos, políticas y controles apropiados para mantener la seguridad de los medios de almacenamiento durante todo su ciclo de vida, desde su adquisición hasta su eliminación.

Propósito del Control 7.10

Control 7.10 permite a las organizaciones eliminar y mitigar los riesgos de acceso no autorizado, uso, eliminación, modificación y transferencia de información confidencial alojada en dispositivos de medios de almacenamiento al establecer procedimientos para el manejo de los medios de almacenamiento a lo largo de todo su ciclo de vida.

Tabla de atributos

El Control 7.10 es un tipo de control preventivo que requiere que las organizaciones creen, implementen y mantengan procedimientos y medidas para garantizar la seguridad de los dispositivos de medios de almacenamiento desde su adquisición hasta su disposición.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger#Seguridad física
#Gestión de activos 		#Proteccion
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

¿Qué medios de almacenamiento cubre Control 7.10?

El Control 7.10 se aplica tanto a los medios de almacenamiento físicos como a los digitales. Por ejemplo almacenamiento de información en archivos físicos también está cubierto por el Control 7.10.

Además, junto con los medios de almacenamiento extraíbles, los medios de almacenamiento fijos, como los discos duros, también están sujetos al Control 7.10.

Propiedad del Control 7.10

El Control 7.10 requiere que las organizaciones creen e implementen procedimientos apropiados, controles técnicos y políticas para toda la organización sobre el uso de medios de almacenamiento basados ​​en el propio esquema de clasificación de la organización y sus requisitos de manejo de datos, como las obligaciones legales y contractuales.

Teniendo esto en cuenta, los gerentes de seguridad de la información deben ser responsables de todo el proceso de cumplimiento.

Orientación general sobre cumplimiento

Medios de almacenamiento extraíbles

Si bien los medios de almacenamiento extraíbles son esenciales para muchas operaciones comerciales y la mayoría del personal los utiliza comúnmente, presentan el mayor grado de riesgo para la información confidencial.

Control 7.10 enumera diez requisitos que las organizaciones deben cumplir para la gestión de medios de almacenamiento extraíbles durante todo su ciclo de vida:

  1. Las organizaciones deben establecer una política temática específica sobre la adquisición, autorización, uso y eliminación de medios de almacenamiento extraíbles. Esta política debe comunicarse a todo el personal y a todas las partes relevantes.

  2. Si es práctico y necesario, las organizaciones deberían implementar procedimientos de autorización sobre cómo se pueden sacar los medios de almacenamiento extraíbles de las instalaciones corporativas. Además, las organizaciones deben mantener registros de la eliminación de medios de almacenamiento con fines de seguimiento de auditoría.

  3. Todos los medios de almacenamiento extraíbles deben almacenarse en un área segura, como una caja fuerte, teniendo en cuenta el nivel de clasificación de información asignado a la información y las amenazas ambientales y físicas a los medios de almacenamiento.

  4. Si la confidencialidad y la integridad de la información contenida en los medios de almacenamiento extraíbles son de importancia crítica, se deben utilizar técnicas criptográficas para proteger los medios de almacenamiento contra el acceso no autorizado.

  5. Ante el riesgo de degradación de los medios de almacenamiento extraíbles y la pérdida de información almacenada en los medios, la información debe transferirse a un nuevo dispositivo de medios de almacenamiento antes de que se produzca dicho riesgo.

  6. La información crítica y sensible debe copiarse y almacenarse en múltiples medios de almacenamiento para minimizar el riesgo de pérdida de información crítica.

  7. Para mitigar el riesgo de pérdida total de información, el registro de dispositivos de almacenamiento extraíbles puede ser una opción a considerar.

  8. A menos que exista un motivo comercial para utilizar puertos de medios de almacenamiento extraíbles, como puertos USB o ranuras para tarjetas SD, no deberían permitirse.

  9. Es necesario que exista un mecanismo de monitoreo para la transferencia de información a dispositivos de medios de almacenamiento extraíbles.

  10. Cuando la información contenida en soportes físicos, como papeles, se transfiere por mensajería o correo postal, existe un alto riesgo de acceso no autorizado a esta información. Por lo tanto, se deben aplicar las medidas adecuadas.

Orientación sobre la reutilización y eliminación segura de medios de almacenamiento

Control 7.10 proporciona orientación separada sobre la reutilización y eliminación segura de medios de almacenamiento para que las organizaciones puedan mitigar y eliminar los riesgos que comprometen la confidencialidad de la información.

El Control 7.10 destaca que las organizaciones deben definir y aplicar procedimientos para la reutilización y eliminación de los medios de almacenamiento, teniendo en cuenta el nivel de sensibilidad de la información contenida en los medios de almacenamiento.

Al establecer estos procedimientos, las organizaciones deben considerar lo siguiente:

  1. Si un medio de almacenamiento va a ser reutilizado por una parte interna dentro de una organización, la información confidencial alojada en ese medio de almacenamiento debe eliminarse o reformatearse irreversiblemente antes de que se autorice su reutilización.

  2. Los medios de almacenamiento que contengan información confidencial deben destruirse de forma segura cuando ya no sean necesarios. Por ejemplo, los documentos en papel se pueden triturar y los equipos digitales se pueden destruir físicamente.

  3. Debería existir un procedimiento para la identificación de los elementos de los medios de almacenamiento que deben eliminarse.

  4. Cuando las organizaciones optan por trabajar con un tercero para manejar la recopilación y eliminación de medios de almacenamiento, deben llevar a cabo las debidas diligencia para garantizar que el proveedor elegido sea competente e implementa controles apropiados.

  5. Mantener un registro de todos los elementos desechados para pista de auditoría.

  6. Cuando se van a eliminar varios medios de almacenamiento juntos, se debe tener en cuenta el efecto de acumulación: la combinación de diferentes piezas de información de cada medio de almacenamiento puede transformar información no confidencial en información confidencial.

Por último, pero no menos importante, el Control 7.10 requiere que las organizaciones lleven a cabo una Evaluación de riesgos en equipos dañados que almacenan información confidencial. decidir si el equipo debe ser destruido en lugar de reparado.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/7.10 reemplaza a 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Hay cuatro diferencias clave que es necesario destacar:

  • Cambios estructurales

Mientras que la versión de 2013 contenía tres controles sobre la gestión de medios, eliminación de medios y transferencia de medios físicos, la Versión 2022 combina estos tres controles bajo el Control 7.10.

  • La versión 2022 incluye requisitos para la reutilización de medios de almacenamiento

A diferencia de la versión 2013 que solo abordaba la eliminación segura de los medios de almacenamiento, la versión 2022 también aborda la reutilización segura de los medios de almacenamiento.

  • La versión 2013 contiene requisitos más completos para la transferencia física de medios de almacenamiento.

La versión 2013 implicó requisitos más completos para la transferencia física de medios de almacenamiento. Por ejemplo, la versión de 2013 incluía normas sobre verificación de identidad para mensajeros y normas de embalaje.

El Control 7.10 en la Versión 2022, por otro lado, solo establecía que las organizaciones deben actuar con diligencia al elegir proveedores de servicios como los mensajeros.

  • La versión 2022 requiere una política de tema específico sobre medios de almacenamiento extraíbles

Si bien las versiones 2022 y 2013 son similares en gran medida en términos de requisitos para medios de almacenamiento extraíbles, la versión 2022 introduce el requisito de establecer una política temática específica sobre medios de almacenamiento extraíbles. La versión de 2013, en cambio, no cubría este requisito.

Cómo ayuda ISMS.online

El Plataforma en línea ISMS utiliza un enfoque basado en riesgos combinado con las mejores prácticas y plantillas líderes en la industria para ayudarlo a identificar los riesgos que enfrenta su organización y los controles necesarios para gestionar esos riesgos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como sus costos de cumplimiento.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más