¿Qué es Control 7.3?
El control 7.3 de la nueva ISO 27002:2022 cubre la necesidad de diseñar e implementar seguridad física para oficinas, salas e instalaciones.
Este control fue diseñado para alentar a las organizaciones a implementar medidas apropiadas para evitar el acceso no autorizado a salas, oficinas e instalaciones, especialmente donde se maneja seguridad de la información, mediante el uso de cerraduras, alarmas, guardias de seguridad u otros medios apropiados, para evitar que la información temas de seguridad.
Seguridad Física para Oficinas, Habitaciones e Instalaciones Explicada
La seguridad física es un elemento crítico de la seguridad de la información. Ambos van de la mano y deben considerarse juntos. La seguridad de la información es la protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.
La seguridad física se refiere a las medidas de protección tomadas para salvaguardar al personal, las instalaciones, los equipos y otros activos contra peligros naturales o provocados por el hombre reduciendo los riesgos relacionados con robos, sabotaje, terrorismo y otros actos delictivos.
El primer paso en la seguridad física de ubicaciones sensibles a la información es determinar si tiene una. Las ubicaciones de información sensible son habitaciones, oficinas e instalaciones donde hay computadoras que contienen datos sensibles o donde hay personas que tienen acceso a datos sensibles.
La seguridad física puede incluir.
Cerraduras y llaves
Cerrar puertas, ventanas y armarios; usar sellos de seguridad en computadoras portátiles y dispositivos móviles; protección con contraseña para ordenadores; cifrado de datos confidenciales.
CCTV
Las cámaras de circuito cerrado de televisión son una excelente manera de monitorear la actividad alrededor de las instalaciones o en áreas específicas de un edificio.
Alarmas de intrusos
Estos pueden activarse mediante movimiento, calor o sonido y se utilizan para alertarle sobre intrusos o personas que no deberían estar en un área en particular (por ejemplo, una alarma que suena cuando alguien intenta irrumpir en la oficina).
Tabla de Atributos de Control 7.3
Los atributos le permiten hacer coincidir rápidamente su selección de control con las especificaciones y terminología típicas de la industria. Los siguientes controles están disponibles en el control 7.3.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad en las relaciones con proveedores | #Gobernanza y Ecosistema |
| #Integridad | #Proteccion | |||
| #Disponibilidad |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 7.3?
El objetivo del Control 7.3 es evitar el acceso físico no autorizado, daños e interferencias a la información de la organización y otros activos asociados en oficinas, salas e instalaciones.
El objetivo principal del Control 7.3 es reducir el nivel de riesgo de acceso físico no autorizado a oficinas, salas e instalaciones, a un nivel aceptable mediante:
- Impedir el acceso físico no autorizado a oficinas, salas e instalaciones por parte de personas distintas del personal autorizado.
- Prevenir daños o interferencias con la información de la organización y otros activos asociados en el interior de oficinas, salas e instalaciones.
- Garantizar que las áreas sensibles a la seguridad de la información sean discretas para dificultar que las personas determinen su propósito.
- Minimizar el riesgo de robo o pérdida de bienes dentro de oficinas, salas e instalaciones.
- Garantizar que las personas que tienen acceso físico autorizado estén identificadas (esto se puede lograr mediante el uso de una combinación de credenciales uniformes, sistemas de portero electrónico y pases de visitante).
- Cuando sea posible, se deben utilizar CCTV u otros dispositivos de monitoreo para brindar vigilancia de seguridad en áreas clave como entradas/salidas.
El control 7.3 se aplica a todos los edificios utilizados por la organización para oficinas o funciones administrativas. También se aplica a las salas donde se almacena o procesa información confidencial, incluidas las salas de reuniones donde se llevan a cabo debates delicados.
No se aplica a las áreas de recepción u otras áreas públicas de las instalaciones de una organización a menos que se utilicen con fines administrativos (por ejemplo, un área de recepción que también funciona como oficina).
Qué implica y cómo cumplir los requisitos
El control 7.3 especifica que las habitaciones e instalaciones deben estar aseguradas. Se pueden tomar las siguientes medidas de seguridad, según las directrices de control de la norma ISO 27002:2022, para garantizar que las habitaciones e instalaciones sean seguras:
- Ubicar instalaciones críticas para evitar el acceso del público.
- Cuando corresponda, garantizar que los edificios sean discretos y den una indicación mínima de su propósito, sin señales obvias, fuera o dentro del edificio, que identifiquen la presencia de actividades de procesamiento de información.
- Configurar instalaciones para evitar que información o actividades confidenciales sean visibles y audibles desde el exterior. También se debe considerar apropiado el blindaje electromagnético.
- No poner a disposición de cualquier persona no autorizada directorios, guías telefónicas internas y mapas accesibles en línea que identifiquen ubicaciones de instalaciones de procesamiento de información confidencial.
Puede obtener más información sobre lo que implica cumplir con los requisitos para el control en el documento estándar ISO 27002:2022.
Cambios y diferencias con respecto a ISO 27002:2013
Publicada originalmente en 2013, la revisión revisada de 2022 de ISO 27002 se publicó el 15 de febrero de 2022.
El control 7.3 no es un control nuevo. Se refiere a una versión modificada del control 11.1.3 en ISO 27002. Una diferencia importante entre las versiones 2013 y 2022 es el cambio en el número de control. El número de control 11.1.3 fue reemplazado por 7.3. Aparte de eso, el contexto y el significado son en gran medida los mismos, aunque la fraseología sea diferente.
Otra diferencia entre ambos controles es que la versión 2022 viene con una tabla de atributos y una declaración de propósito. Estas secciones no están disponibles en la versión 2013.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Quién está a cargo de este proceso?
La primera persona a considerar cuando se trata de proteger oficinas, habitaciones e instalaciones es la persona que tiene mayor control sobre el edificio físico y su contenido. Esta persona suele ser el administrador o director de la instalación.
Luego está el director de seguridad. El gerente de seguridad es responsable de garantizar que todas las áreas estén seguras, incluidos los espacios de oficina y las instalaciones. El gerente de seguridad también está a cargo de realizar un seguimiento de todos los empleados que tienen acceso a estas áreas y de asegurarse de que estén utilizando su acceso de manera adecuada.
Sin embargo, en algunos casos, varias personas comparten las responsabilidades de la seguridad. Por ejemplo, cuando una persona tiene acceso a información confidencial que podría usarse en contra de los intereses de su empresa o de la vida personal de otros empleados, es importante contar con varias personas involucradas en su protección.
Un departamento de recursos humanos puede manejar las pólizas de seguro y los beneficios de los empleados, mientras que TI maneja los sistemas y redes informáticas; Ambos departamentos pueden intervenir en la gestión de la seguridad física, así como en cuestiones de seguridad cibernética, como estafas de phishing e intentos de acceso no autorizados.
¿Qué significan estos cambios para usted?
No se requieren cambios importantes para cumplir con la versión más reciente de ISO 27002.
Sin embargo, debe evaluar su solución de seguridad de la información actual para asegurarse de que cumple con el estándar revisado. Si ha realizado alguna modificación desde que se lanzó la última edición en 2013, vale la pena revisar esos ajustes para determinar si aún son relevantes o si es necesario actualizarlos.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.Online
Nuestra plataforma ha sido desarrollada específicamente para aquellos que son nuevos en la seguridad de la información o necesitan una manera fácil de aprender sobre ISO 27002 sin tener que perder tiempo aprendiendo desde cero o leyendo documentos extensos.
ISMS.Online viene equipado con todas las herramientas necesarias para lograr el cumplimiento, incluidas plantillas de documentos, listas de verificación y políticas que se pueden personalizar según sus necesidades.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
