Los equipos de TI, como servidores, computadoras portátiles, dispositivos de red e impresoras, son vitales para muchas operaciones de procesamiento de información, como el almacenamiento, el uso y la transferencia de activos de información.
Sin embargo, si este equipo no recibe mantenimiento teniendo en cuenta las especificaciones del producto y los riesgos ambientales, su calidad y rendimiento pueden degradarse. Esta falta de mantenimiento puede resultar en el compromiso de la disponibilidad, integridad y confidencialidad de los activos de información almacenados en este equipo.
Por ejemplo, si una organización no realiza un mantenimiento regular del hardware del servidor, es posible que no reconozca que el espacio en disco está lleno. Esto puede resultar en la pérdida de datos transmitidos hacia o desde el servidor.
Además, los empleados o proveedores de servicios externos pueden obtener acceso a equipos de TI como parte del procedimiento de mantenimiento y esto también puede presentar riesgos para la confidencialidad de la información confidencial.
Por ejemplo, un proveedor de servicios de mantenimiento externo puede obtener acceso a información confidencial almacenada en computadoras portátiles o instalar malware en los dispositivos.
El Control 7.13 trata de cómo las organizaciones pueden establecer e implementar procedimientos y medidas apropiados para el mantenimiento adecuado de los equipos de modo que el activos de información almacenados en este equipo no se ven comprometidos.
El Control 7.13 permite a las organizaciones implementar las medidas y procedimientos técnicos necesarios para llevar a cabo actividades de mantenimiento adecuadas en los equipos utilizados para almacenar activos de información.
Estas medidas y procedimientos brindan garantía de que los activos de información no se pierden ni dañan, y no están expuestos al riesgo de verse comprometidos, como el acceso no autorizado.
El Control 7.13 es un tipo de control preventivo que requiere que las organizaciones adopten un enfoque proactivo para el mantenimiento de los equipos.
Implica detectar riesgos que puedan surgir por falta de mantenimiento, establecer procedimientos de mantenimiento de los equipos teniendo en cuenta las especificaciones de cada equipo y aplicar las medidas adecuadas. controles que protegerán los activos de información alojado en este equipo contra compromisos.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física #Gestión de activos | #Proteccion #Resiliencia |
El cumplimiento del Control 7.13 implica la creación de una lista de equipos, realizar una evaluación de riesgos en función de factores ambientales y especificaciones del producto y estableciendo e implementando procedimientos y medidas adecuadas para un correcto mantenimiento.
Si bien el papel de las personas que manejan este equipo a diario es fundamental, el gerente de seguridad de la información debe asumir la responsabilidad del cumplimiento del Control 7.13.
Control 7.13 enumera 11 recomendaciones específicas que las organizaciones deben considerar:
El Control 7.13 establece que lo siguiente se considera equipo y cae dentro del alcance del Control 7.13:
El único cumplimiento
solución que necesitas
Reserva tu demostración
27002: 2022 / 7.13 reemplaza 27002:2013/(11.2.4)
En comparación con la versión 2013, Control 7.13 en la versión 2022 establece requisitos más completos. Mientras que la versión 2013 solo enumeraba seis requisitos específicos, el Control 7.13 contiene 11 requisitos.
El Control 7.13 introduce los cinco requisitos siguientes, que no se abordaron en la Versión 2013:
En la Guía complementaria, el control 7.13 define lo que cae dentro del alcance de "Equipo". En cambio, la Versión de 2013 no hacía referencia al significado de 'Equipo'.
ISMS.Online le permite:
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |