Cuando los equipos de TI, como unidades externas, unidades USB, computadoras portátiles o impresoras, ya no son necesarios, se destruyen físicamente, se devuelven al arrendatario, se transfieren a un tercero, se reciclan o se ponen a disposición para su reutilización para llevar a cabo otros negocios. operaciones.
Teniendo en cuenta que este equipo puede contener activos de información y software con licencia, las organizaciones deben asegurarse de que toda la información y el software con licencia se eliminen o sobrescriban irremediablemente antes de que se realice la eliminación o la reutilización. Esto ayudará a mantener la confidencialidad de la información contenida en este equipo.
Por ejemplo, si una organización utiliza un proveedor externo de servicios de eliminación de activos de TI y transfiere computadoras portátiles, impresoras y unidades externas antiguas a este proveedor, este proveedor de servicios puede obtener acceso no autorizado a la información alojada en este equipo.
El Control 7.14 aborda cómo Las organizaciones pueden mantener la confidencialidad de la información almacenada. sobre el equipo que se va a eliminar o reutilizar mediante la implementación de medidas y procedimientos de seguridad adecuados.
Control 7.14 permite a las organizaciones evitar el acceso no autorizado a información confidencial al confirmar que toda la información y el software con licencia almacenado en el equipo se eliminan o sobrescriben irreversiblemente antes de que el equipo se deseche o se proporcione a terceros para su reutilización.
El Control 7.14 es un tipo de control preventivo que Requiere que las organizaciones mantengan la confidencialidad de la información. alojado en el equipo que será desechado o desplegado para ser reutilizado estableciendo y aplicando procedimientos y medidas apropiados para su eliminación y reutilización.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad física #Gestión de activos | #Proteccion |
El cumplimiento del Control 7.14 requiere el establecimiento de un procedimiento de eliminación y reutilización de datos en toda la organización, la identificación de todos los equipos y la implementación de mecanismos técnicos de eliminación y procesos de reutilización adecuados.
Por lo tanto, el Director de Información debe ser responsable del establecimiento, implementación y mantenimiento de procedimientos y mecanismos de eliminación y reutilización de equipos.
El Control 7.14 enumera cuatro consideraciones clave que las organizaciones deben tener en cuenta para el cumplimiento:
Antes de que se realice la eliminación o que el equipo esté disponible para su reutilización, las organizaciones deben confirmar si el equipo contiene algún activos de información y software con licencia y debe garantizar que dicha información o software se elimine permanentemente.
El Control 7.14 enumera dos métodos mediante los cuales la información contenida en el equipo se puede eliminar de forma segura y permanente:
Los componentes del equipo y la información contenida en él pueden tener etiquetas y marcas que identifiquen a la organización o que revelen el nombre del propietario del activo, la red o el nivel de clasificación de la información asignado.
Todas estas etiquetas y marcas deben destruirse irremediablemente.
Teniendo en cuenta las siguientes condiciones, las organizaciones podrán optar por desinstalar todos los controles de seguridad como restricciones de acceso o sistemas de vigilancia cuando abandonen las instalaciones:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Además de la Orientación General, el Control 7.14 conlleva tres recomendaciones específicas para las organizaciones.
Cuando un equipo dañado que contiene información se envía a reparación, puede quedar expuesto al riesgo de acceso no autorizado por parte de terceros.
Las organizaciones deben llevar a cabo una Evaluación de riesgos teniendo en cuenta el nivel de sensibilidad de la información. y considerar si destruir el equipo es una opción más viable que repararlo.
Si bien la técnica de cifrado de disco completo minimiza en gran medida los riesgos para la confidencialidad de la información, debe cumplir con los siguientes estándares:
Las organizaciones deben elegir una técnica de sobrescritura teniendo en cuenta los siguientes criterios:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
El Control 7.14 es muy similar a su contraparte de la versión 2013. Sin embargo, el Control 7.14 en la versión 2022 incluye requisitos más completos en la Guía General.
A diferencia de la Versión 2013, la Versión 2022 introduce los siguientes requisitos:
ISMS.Online es una solución completa para ISO 27002 puesta en práctica.
Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados utilizando procesos, procedimientos y listas de verificación bien pensados.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
