El Control 7.2 cubre la necesidad de que las organizaciones protejan áreas seguras mediante el uso de controles de entrada y puntos de acceso adecuados.
Los controles de entrada y los puntos de acceso son una parte crucial del sistema de seguridad de cualquier edificio. Son los que le permiten entrar y salir de su edificio sin comprometer su seguridad, y también pueden evitar la entrada de personas no autorizadas o no deseadas.
Los controles de entrada son los dispositivos que le permiten acceder a un edificio a través de puertas o portones, como teclados, lectores de tarjetas, escáneres biométricos y llaveros. También pueden incluir otras características como mecanismos de bloqueo de puertas y portones, así como torniquetes o puertas giratorias.
Un punto de acceso es un dispositivo electrónico que brinda seguridad en grandes edificios comerciales. Utiliza tecnología de identificación por radiofrecuencia (RFID) para rastrear todos los movimientos dentro y fuera de las instalaciones. El punto de acceso transmite datos a la sede para que el personal de seguridad pueda monitorear cuándo alguien entra o sale de las instalaciones y a qué áreas accede mientras está allí.
Los atributos se utilizan para clasificar los controles. Al utilizarlos, puede hacer coincidir fácilmente su elección de control con frases y requisitos de la industria que se utilizan habitualmente. Los atributos en el control 7.2 son los siguientes.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física #Gestión de identidad y acceso | #Proteccion |
El control 7.2 garantiza que solo se produzca el acceso físico autorizado a la información de la organización y a otros activos asociados.
La seguridad física es de primordial importancia a la hora de proteger la confidencialidad, integridad y disponibilidad de los activos de información. El Control 7.2 se ocupa principalmente de proteger la información y otros activos asociados contra el acceso no autorizado, el robo o la pérdida. Para ello, deben existir controles de entrada y puntos de acceso adecuados para garantizar que sólo las personas autorizadas puedan acceder a las zonas seguras.
Estos controles deben diseñarse de manera que proporcionen una seguridad razonable de que el acceso físico esté restringido a personas autorizadas y que estas personas sean en realidad quienes dicen ser.
Esto incluye el uso de cerraduras y llaves (tanto manuales como electrónicas), guardias de seguridad, sistemas de monitoreo y otras barreras alrededor de entradas y puntos de acceso. También se deben implementar sistemas de control de acceso, como contraseñas, tarjetas clave o dispositivos biométricos, para controlar el acceso a áreas sensibles de la instalación.
Para cumplir con los requisitos para la implementación del control 7.2, las organizaciones deben controlar y, si es posible, aislar de las instalaciones de procesamiento de información los puntos de acceso, como las áreas de entrega y carga y otros puntos donde personas no autorizadas pueden ingresar a las instalaciones, para evitar el acceso no autorizado. Estas áreas deben estar restringidas únicamente al personal autorizado.
Hay bastantes pautas de implementación en el documento estándar ISO 27002 bajo control 7.2 que pueden servir como base para cumplir con los requisitos de este control. Estas pautas cubren al personal en general, visitantes y repartidores. Puede ver las pautas de implementación cuando acceda a la versión revisada de ISO 27002:2022.
En primer lugar, el control 7.2 de la norma ISO 27002:2022 no es un control nuevo, sino que es una combinación de los controles 11.1.2 y 11.1.6 de la norma ISO 27002:2013. Estos dos controles se revisaron en ISO 27002:2022 para hacerlos más fáciles de usar que los de ISO 27002:2013.
Control de 11.1.2 – Controles de entrada físicos, cubre la necesidad de que las áreas seguras estén protegidas por controles de entrada adecuados para garantizar que solo se permita el acceso al personal autorizado. Como puede ver, el control 11.1.2 cubre básicamente controles de entrada física y las pautas de implementación en esa sección del estándar analizan los pasos que las organizaciones pueden tomar para garantizar que solo las personas autorizadas puedan acceder a propósitos específicos.
También estipula que se necesitan medidas apropiadas, como la autenticación de dos factores, para que personas autorizadas accedan a áreas sensibles a la seguridad de la información. Este acceso también debe estar respaldado por un libro de registro físico o un registro de auditoría electrónico.
Control de 11.1.6 – Áreas de entrega y carga, por otro lado, cubre el acceso a las áreas de entrega y carga únicamente por parte de personas autorizadas. Recomienda que esta área se diseñe de tal manera que esté aislada de las instalaciones de operación para que el personal de entrega no pueda acceder a otras partes del edificio.
Como puede ver, estas dos recomendaciones se fusionaron en una sola en control 7.2 en la versión actualizada de ISO 27002.
En última instancia, el control 7.2 y los controles 11.1.2 y 11.1.6 son algo similares en contexto. La principal diferencia es que 11.1.2 y 11.1.6 se fusionaron para permitir una mejor facilidad de uso.
Además, en la versión 2022 de ISO 27002 se agregaron una tabla de atributos y un propósito de control. Estos dos elementos no están en los controles de la versión 2013.
El único cumplimiento
solución que necesitas
Reserva tu demostración
El control del acceso físico se considera una de las medidas de seguridad más importantes en una empresa u organización.
El departamento de seguridad es responsable de todos los aspectos de la seguridad física, incluido el control de entrada. Sin embargo, pueden delegar autoridad en otro departamento si consideran que carecen de la experiencia o los recursos necesarios para realizar esta tarea.
Los equipos de TI también desempeñan un papel importante en la seguridad física. Ayudan a garantizar que los sistemas tecnológicos utilizados por la seguridad física estén actualizados y sean seguros. Por ejemplo, si tiene un sistema de detección de intrusos (IDS) en la puerta de entrada de su organización pero su software no se ha actualizado en meses, entonces no servirá de mucho cuando un intruso intente atravesarlo.
Dado que la norma ISO 27002 sólo se modificó ligeramente, su organización no necesitará cambiar mucho sus prácticas de seguridad de la información.
Si ya tiene una certificación ISO 27001, encontrará que su enfoque actual de gestión de seguridad de la información satisface los nuevos estándares.
Sin embargo, si comienza desde cero, deberá familiarizarse con la información del nuevo estándar.
Consulte nuestra nueva guía ISO 27002:2022 para obtener más información sobre cómo estos cambios podrían afectar a su organización.
Nuestra plataforma proporciona a los usuarios acceso a toda la documentación y recursos necesarios, como políticas, procedimientos, estándares, directrices e información relacionada con los procesos de cumplimiento.
La plataforma ISMS.online es ideal para empresas que necesitan:
Nuestra plataforma le proporciona paneles personalizables que le brindan visibilidad en tiempo real de su estado de cumplimiento.
Puede monitorear y gestionar todos los aspectos de su proceso de cumplimiento de ISO 27002 desde un solo lugar: gestión de auditorías, análisis de brechas, gestión de capacitación, evaluación de riesgos, etc.
Proporciona una solución integrada y fácil de usar a la que se puede acceder las 24 horas del día, los 7 días de la semana a través de cualquier dispositivo con conexión a Internet. La plataforma permite a todos los empleados trabajar juntos de forma fluida y segura para gestionar los riesgos de seguridad y realizar un seguimiento del cumplimiento de la organización, así como del camino hacia la certificación ISO 27001.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
