ISO 27002:2022, Control 7.10, Medios de almacenamiento

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Gestión segura de medios de almacenamiento: protección de la información confidencial

El uso de dispositivos de medios de almacenamiento, como unidades de estado sólido (SSD), memorias USB, unidades externas y teléfonos móviles, es vital para muchas operaciones críticas de procesamiento de información, como la copia de seguridad, el almacenamiento y la transferencia de información.

Sin embargo, el almacenamiento de datos sensibles y críticos La información contenida en estos dispositivos introduce riesgos para la integridad., confidencialidad y disponibilidad de los activos de información. Estos riesgos pueden incluir pérdida o robo de medios de almacenamiento que contienen información confidencial, propagación de malware a todas las redes informáticas corporativas a través de los medios de almacenamiento y fallas y degradación de los dispositivos de medios de almacenamiento utilizados para realizar copias de seguridad de los datos.

El Control 7.10 aborda cómo las organizaciones pueden establecer procedimientos, políticas y controles apropiados para mantener la seguridad de los medios de almacenamiento durante todo su ciclo de vida, desde su adquisición hasta su eliminación.

Propósito del Control 7.10

Control 7.10 permite a las organizaciones eliminar y mitigar los riesgos de acceso no autorizado, uso, eliminación, modificación y transferencia de información confidencial alojada en dispositivos de medios de almacenamiento al establecer procedimientos para el manejo de los medios de almacenamiento a lo largo de todo su ciclo de vida.

Tabla de Atributos de Control 7.10

El Control 7.10 es un tipo de control preventivo que requiere que las organizaciones creen, implementen y mantengan procedimientos y medidas para garantizar la seguridad de los dispositivos de medios de almacenamiento desde su adquisición hasta su disposición.

Tipo de control	Propiedades de seguridad de la información	Conceptos de ciberseguridad	Capacidades operativas	Dominios de seguridad
#Preventivo	#Confidencialidad	#Proteger	#Seguridad física	#Proteccion
	#Integridad		#Gestión de activos
	#Disponibilidad

El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo

¿Qué medios de almacenamiento cubre Control 7.10?

El Control 7.10 se aplica tanto a los medios de almacenamiento físicos como a los digitales. Por ejemplo almacenamiento de información en archivos físicos también está cubierto por el Control 7.10.

Además, junto con los medios de almacenamiento extraíbles, los medios de almacenamiento fijos, como los discos duros, también están sujetos al Control 7.10.

Propiedad del Control 7.10

El Control 7.10 requiere que las organizaciones creen e implementen procedimientos apropiados, controles técnicos y políticas para toda la organización sobre el uso de medios de almacenamiento basados en el propio esquema de clasificación de la organización y sus requisitos de manejo de datos, como las obligaciones legales y contractuales.

Teniendo esto en cuenta, los gerentes de seguridad de la información deben ser responsables de todo el proceso de cumplimiento.

Orientación general sobre cumplimiento

Medios de almacenamiento extraíbles

Si bien los medios de almacenamiento extraíbles son esenciales para muchas operaciones comerciales y la mayoría del personal los utiliza comúnmente, presentan el mayor grado de riesgo para la información confidencial.

Control 7.10 enumera diez requisitos que las organizaciones deben cumplir para la gestión de medios de almacenamiento extraíbles durante todo su ciclo de vida:

Las organizaciones deben establecer una política temática específica sobre la adquisición, autorización, uso y eliminación de medios de almacenamiento extraíbles. Esta política debe comunicarse a todo el personal y a todas las partes relevantes.
Si es práctico y necesario, las organizaciones deberían implementar procedimientos de autorización sobre cómo se pueden sacar los medios de almacenamiento extraíbles de las instalaciones corporativas. Además, las organizaciones deben mantener registros de la eliminación de medios de almacenamiento con fines de seguimiento de auditoría.
Todos los medios de almacenamiento extraíbles deben almacenarse en un área segura, como una caja fuerte, teniendo en cuenta el nivel de clasificación de información asignado a la información y las amenazas ambientales y físicas a los medios de almacenamiento.
Si la confidencialidad y la integridad de la información contenida en los medios de almacenamiento extraíbles son de importancia crítica, se deben utilizar técnicas criptográficas para proteger los medios de almacenamiento contra el acceso no autorizado.
Ante el riesgo de degradación de los medios de almacenamiento extraíbles y la pérdida de información almacenada en los medios, la información debe transferirse a un nuevo dispositivo de medios de almacenamiento antes de que se produzca dicho riesgo.
La información crítica y sensible debe copiarse y almacenarse en múltiples medios de almacenamiento para minimizar el riesgo de pérdida de información crítica.
Para mitigar el riesgo de pérdida total de información, el registro de dispositivos de almacenamiento extraíbles puede ser una opción a considerar.
A menos que exista un motivo comercial para utilizar puertos de medios de almacenamiento extraíbles, como puertos USB o ranuras para tarjetas SD, no deberían permitirse.
Es necesario que exista un mecanismo de monitoreo para la transferencia de información a dispositivos de medios de almacenamiento extraíbles.
Cuando la información contenida en soportes físicos, como papeles, se transfiere por mensajería o correo postal, existe un alto riesgo de acceso no autorizado a esta información. Por lo tanto, se deben aplicar las medidas adecuadas.

Orientación sobre la reutilización y eliminación segura de medios de almacenamiento

Control 7.10 proporciona orientación separada sobre la reutilización y eliminación segura de medios de almacenamiento para que las organizaciones puedan mitigar y eliminar los riesgos que comprometen la confidencialidad de la información.

El Control 7.10 destaca que las organizaciones deben definir y aplicar procedimientos para la reutilización y eliminación de los medios de almacenamiento, teniendo en cuenta el nivel de sensibilidad de la información contenida en los medios de almacenamiento.

Al establecer estos procedimientos, las organizaciones deben considerar lo siguiente:

Si un medio de almacenamiento va a ser reutilizado por una parte interna dentro de una organización, la información confidencial alojada en ese medio de almacenamiento debe eliminarse o reformatearse irreversiblemente antes de que se autorice su reutilización.
Los medios de almacenamiento que contengan información confidencial deben destruirse de forma segura cuando ya no sean necesarios. Por ejemplo, los documentos en papel se pueden triturar y los equipos digitales se pueden destruir físicamente.
Debería existir un procedimiento para la identificación de los elementos de los medios de almacenamiento que deben eliminarse.
Cuando las organizaciones optan por trabajar con un tercero para manejar la recopilación y eliminación de medios de almacenamiento, deben llevar a cabo las debidas diligencia para garantizar que el proveedor elegido sea competente e implementa controles apropiados.
Mantener un registro de todos los elementos desechados para pista de auditoría.
Cuando se van a eliminar varios medios de almacenamiento juntos, se debe tener en cuenta el efecto de acumulación: la combinación de diferentes piezas de información de cada medio de almacenamiento puede transformar información no confidencial en información confidencial.

Por último, pero no menos importante, el Control 7.10 requiere que las organizaciones lleven a cabo una Evaluación de riesgos en equipos dañados que almacenan información confidencial. decidir si el equipo debe ser destruido en lugar de reparado.

Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/7.10 reemplaza a 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Hay cuatro diferencias clave que es necesario destacar:

Cambios estructurales

Mientras que la versión de 2013 contenía tres controles sobre la gestión de medios, eliminación de medios y transferencia de medios físicos, la Versión 2022 combina estos tres controles bajo el Control 7.10.

La versión 2022 incluye requisitos para la reutilización de medios de almacenamiento

A diferencia de la versión 2013 que solo abordaba la eliminación segura de los medios de almacenamiento, la versión 2022 también aborda la reutilización segura de los medios de almacenamiento.

La versión 2013 contiene requisitos más completos para la transferencia física de medios de almacenamiento.

La versión 2013 implicó requisitos más completos para la transferencia física de medios de almacenamiento. Por ejemplo, la versión de 2013 incluía normas sobre verificación de identidad para mensajeros y normas de embalaje.

El Control 7.10 en la Versión 2022, por otro lado, solo establecía que las organizaciones deben actuar con diligencia al elegir proveedores de servicios como los mensajeros.

La versión 2022 requiere una política de tema específico sobre medios de almacenamiento extraíbles

Si bien las versiones 2022 y 2013 son similares en gran medida en términos de requisitos para medios de almacenamiento extraíbles, la versión 2022 introduce el requisito de establecer una política temática específica sobre medios de almacenamiento extraíbles. La versión de 2013, en cambio, no cubría este requisito.

Nuevos controles ISO 27002

Nuevos controles

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.7	Nuevo	Inteligencia de amenazas
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
7.4	Nuevo	Monitoreo de seguridad física
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.16	Nuevo	Actividades de monitoreo
8.23	Nuevo	Filtrado Web
8.28	Nuevo	Codificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.1	05.1.1, 05.1.2	Políticas de seguridad de la información.
5.2	06.1.1	Funciones y responsabilidades de seguridad de la información
5.3	06.1.2	Segregación de deberes
5.4	07.2.1	Responsabilidades de gestión
5.5	06.1.3	Contacto con autoridades
5.6	06.1.4	Contacto con grupos de intereses especiales
5.7	Nuevo	Inteligencia de amenazas
5.8	06.1.5, 14.1.1	Seguridad de la información en la gestión de proyectos.
5.9	08.1.1, 08.1.2	Inventario de información y otros activos asociados
5.10	08.1.3, 08.2.3	Uso aceptable de la información y otros activos asociados
5.11	08.1.4	Devolución de activos
5.12	08.2.1	Clasificación de la información
5.13	08.2.2	Etiquetado de información
5.14	13.2.1, 13.2.2, 13.2.3	Transferencia de información
5.15	09.1.1, 09.1.2	Control de acceso
5.16	09.2.1	Gestión de identidad
5.17	09.2.4, 09.3.1, 09.4.3	Información de autenticación
5.18	09.2.2, 09.2.5, 09.2.6	Derechos de acceso
5.19	15.1.1	Seguridad de la información en las relaciones con proveedores
5.20	15.1.2	Abordar la seguridad de la información en los acuerdos con proveedores
5.21	15.1.3	Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22	15.2.1, 15.2.2	Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.24	16.1.1	Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25	16.1.4	Evaluación y decisión sobre eventos de seguridad de la información.
5.26	16.1.5	Respuesta a incidentes de seguridad de la información
5.27	16.1.6	Aprender de los incidentes de seguridad de la información
5.28	16.1.7	Recolección de evidencia
5.29	17.1.1, 17.1.2, 17.1.3	Seguridad de la información durante la interrupción
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
5.31	18.1.1, 18.1.5	Requisitos legales, estatutarios, reglamentarios y contractuales
5.32	18.1.2	Derechos de propiedad intelectual
5.33	18.1.3	Protección de registros
5.34	18.1.4	Privacidad y protección de la PII
5.35	18.2.1	Revisión independiente de la seguridad de la información.
5.36	18.2.2, 18.2.3	Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37	12.1.1	Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
6.1	07.1.1	examen en línea.
6.2	07.1.2	Términos y condiciones de empleo
6.3	07.2.2	Concientización, educación y capacitación sobre seguridad de la información.
6.4	07.2.3	Proceso Disciplinario
6.5	07.3.1	Responsabilidades tras el despido o cambio de empleo
6.6	13.2.4	Acuerdos de confidencialidad o no divulgación
6.7	06.2.2	Trabajo remoto
6.8	16.1.2, 16.1.3	Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
7.1	11.1.1	Perímetros de seguridad física
7.2	11.1.2, 11.1.6	Entrada física
7.3	11.1.3	Seguridad de oficinas, habitaciones e instalaciones.
7.4	Nuevo	Monitoreo de seguridad física
7.5	11.1.4	Protección contra amenazas físicas y ambientales.
7.6	11.1.5	Trabajar en áreas seguras
7.7	11.2.9	Escritorio claro y pantalla clara
7.8	11.2.1	Ubicación y protección de equipos.
7.9	11.2.6	Seguridad de los activos fuera de las instalaciones
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Medios de almacenamiento
7.11	11.2.2	Servicios públicos de apoyo
7.12	11.2.3	Seguridad del cableado
7.13	11.2.4	Mantenimiento de equipo
7.14	11.2.7	Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
8.1	06.2.1, 11.2.8	Dispositivos terminales de usuario
8.2	09.2.3	Derechos de acceso privilegiados
8.3	09.4.1	Restricción de acceso a la información
8.4	09.4.5	Acceso al código fuente
8.5	09.4.2	Autenticación segura
8.6	12.1.3	Gestión de la capacidad
8.7	12.2.1	Protección contra malware
8.8	12.6.1, 18.2.3	Gestión de vulnerabilidades técnicas.
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.13	12.3.1	Copia de seguridad de la información
8.14	17.2.1	Redundancia de instalaciones de procesamiento de información.
8.15	12.4.1, 12.4.2, 12.4.3	Inicio de sesión
8.16	Nuevo	Actividades de monitoreo
8.17	12.4.4	sincronización de los relojes
8.18	09.4.4	Uso de programas de utilidad privilegiados.
8.19	12.5.1, 12.6.2	Instalación de software en sistemas operativos.
8.20	13.1.1	Seguridad en redes
8.21	13.1.2	Seguridad de los servicios de red.
8.22	13.1.3	Segregación de redes
8.23	Nuevo	Filtrado Web
8.24	10.1.1, 10.1.2	Uso de criptografía
8.25	14.2.1	Ciclo de vida de desarrollo seguro
8.26	14.1.2, 14.1.3	Requisitos de seguridad de la aplicación
8.27	14.2.5	Principios de ingeniería y arquitectura de sistemas seguros
8.28	Nuevo	Codificación segura
8.29	14.2.8, 14.2.9	Pruebas de seguridad en desarrollo y aceptación.
8.30	14.2.7	Desarrollo subcontratado
8.31	12.1.4, 14.2.6	Separación de los entornos de desarrollo, prueba y producción.
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestión del cambio
8.33	14.3.1	Información de prueba
8.34	12.7.1	Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

El sistema Plataforma en línea ISMS utiliza un enfoque basado en riesgos combinado con las mejores prácticas y plantillas líderes en la industria para ayudarlo a identificar los riesgos que enfrenta su organización y los controles necesarios para gestionar esos riesgos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como sus costos de cumplimiento.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

ISO 27002:2022 – Control 7.10 – Medios de almacenamiento