Cómo garantizar la eliminación y reutilización seguras de los equipos: explicación del control 27002 de la norma ISO 7.14
Cuando los equipos de TI, como unidades externas, unidades USB, computadoras portátiles o impresoras, ya no son necesarios, se destruyen físicamente, se devuelven al arrendatario, se transfieren a un tercero, se reciclan o se ponen a disposición para su reutilización para llevar a cabo otros negocios. operaciones.
Teniendo en cuenta que este equipo puede contener activos de información y software con licencia, las organizaciones deben asegurarse de que toda la información y el software con licencia se eliminen o sobrescriban irremediablemente antes de que se realice la eliminación o la reutilización. Esto ayudará a mantener la confidencialidad de la información contenida en este equipo.
Por ejemplo, si una organización utiliza un proveedor externo de servicios de eliminación de activos de TI y transfiere computadoras portátiles, impresoras y unidades externas antiguas a este proveedor, este proveedor de servicios puede obtener acceso no autorizado a la información alojada en este equipo.
El Control 7.14 aborda cómo Las organizaciones pueden mantener la confidencialidad de la información almacenada. sobre el equipo que se va a eliminar o reutilizar mediante la implementación de medidas y procedimientos de seguridad adecuados.
Propósito del Control 7.14
Control 7.14 permite a las organizaciones evitar el acceso no autorizado a información confidencial al confirmar que toda la información y el software con licencia almacenado en el equipo se eliminan o sobrescriben irreversiblemente antes de que el equipo se deseche o se proporcione a terceros para su reutilización.
Tabla de Atributos de Control 7.14
El Control 7.14 es un tipo de control preventivo que Requiere que las organizaciones mantengan la confidencialidad de la información. alojado en el equipo que será desechado o desplegado para ser reutilizado estableciendo y aplicando procedimientos y medidas apropiados para su eliminación y reutilización.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad física | #Proteccion |
| #Gestión de activos |
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Propiedad del Control 7.14
El cumplimiento del Control 7.14 requiere el establecimiento de un procedimiento de eliminación y reutilización de datos en toda la organización, la identificación de todos los equipos y la implementación de mecanismos técnicos de eliminación y procesos de reutilización adecuados.
Por lo tanto, el Director de Información debe ser responsable del establecimiento, implementación y mantenimiento de procedimientos y mecanismos de eliminación y reutilización de equipos.
Orientación general sobre cumplimiento
El Control 7.14 enumera cuatro consideraciones clave que las organizaciones deben tener en cuenta para el cumplimiento:
- Se debe adoptar un enfoque proactivo
Antes de que se realice la eliminación o que el equipo esté disponible para su reutilización, las organizaciones deben confirmar si el equipo contiene algún activos de información y software con licencia y debe garantizar que dicha información o software se elimine permanentemente.
- Destrucción física o eliminación irrecuperable de información
El Control 7.14 enumera dos métodos mediante los cuales la información contenida en el equipo se puede eliminar de forma segura y permanente:
- Los equipos que albergan dispositivos de medios de almacenamiento que contienen información deben destruirse físicamente.
- La información almacenada en el equipo debe borrarse, sobrescribirse o destruirse de manera no recuperable para que partes malintencionadas no puedan acceder a la información. Se recomienda a las organizaciones que consulten el Control 7.10 sobre medios de almacenamiento y el Control 8.10 sobre la eliminación de información.
- Eliminación de todas las etiquetas y marcas.
Los componentes del equipo y la información contenida en él pueden tener etiquetas y marcas que identifiquen a la organización o que revelen el nombre del propietario del activo, la red o el nivel de clasificación de la información asignado.
Todas estas etiquetas y marcas deben destruirse irremediablemente.
- Eliminación de controles
Teniendo en cuenta las siguientes condiciones, las organizaciones podrán optar por desinstalar todos los controles de seguridad como restricciones de acceso o sistemas de vigilancia cuando abandonen las instalaciones:
- Los términos del contrato de arrendamiento se relacionan con las condiciones en las que debe devolverse.
- Eliminar y mitigar el riesgo de acceso no autorizado a información confidencial por parte del próximo inquilino.
- Si los controles existentes se pueden reutilizar en la siguiente instalación.
Orientación complementaria sobre control 7.14
Además de la Orientación General, el Control 7.14 conlleva tres recomendaciones específicas para las organizaciones.
Equipo Dañado
Cuando un equipo dañado que contiene información se envía a reparación, puede quedar expuesto al riesgo de acceso no autorizado por parte de terceros.
Las organizaciones deben llevar a cabo una Evaluación de riesgos teniendo en cuenta el nivel de sensibilidad de la información. y considerar si destruir el equipo es una opción más viable que repararlo.
Cifrado de disco completo
Si bien la técnica de cifrado de disco completo minimiza en gran medida los riesgos para la confidencialidad de la información, debe cumplir con los siguientes estándares:
- El cifrado es sólido y cubre todas las partes del disco, incluido el espacio disponible.
- Las claves criptográficas deben ser lo suficientemente largas para evitar ataques de fuerza bruta.
- Las organizaciones deben mantener la confidencialidad de las claves criptográficas. Por ejemplo, la clave de cifrado no debe almacenarse en el mismo disco.
Herramientas de sobrescritura
Las organizaciones deben elegir una técnica de sobrescritura teniendo en cuenta los siguientes criterios:
- Nivel de clasificación de la información asignado al activo de información.
- Tipo de soporte de almacenamiento en el que se almacena la información.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/7.14 replaces 27002:2013/(11.2.7)
El Control 7.14 es muy similar a su contraparte de la versión 2013. Sin embargo, el Control 7.14 en la versión 2022 incluye requisitos más completos en la Guía General.
A diferencia de la Versión 2013, la Versión 2022 introduce los siguientes requisitos:
- Las organizaciones deben eliminar todas las marcas y etiquetas que identifiquen la organización, la red y el nivel de clasificación.
- Las organizaciones deben considerar la eliminación de los controles implementados en una instalación cuando la abandonan.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.Online es una solución completa para ISO 27002, puesta en práctica.
Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados utilizando procesos, procedimientos y listas de verificación bien pensados.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
