El control 7.3 de la nueva ISO 27002:2022 cubre la necesidad de diseñar e implementar seguridad física para oficinas, salas e instalaciones.
Este control fue diseñado para alentar a las organizaciones a implementar medidas apropiadas para evitar el acceso no autorizado a salas, oficinas e instalaciones, especialmente donde se maneja seguridad de la información, mediante el uso de cerraduras, alarmas, guardias de seguridad u otros medios apropiados, para evitar que la información temas de seguridad.
La seguridad física es un elemento crítico de la seguridad de la información. Ambos van de la mano y deben considerarse juntos. La seguridad de la información es la protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.
La seguridad física se refiere a las medidas de protección tomadas para salvaguardar al personal, las instalaciones, los equipos y otros activos contra peligros naturales o provocados por el hombre reduciendo los riesgos relacionados con robos, sabotaje, terrorismo y otros actos delictivos.
El primer paso en la seguridad física de ubicaciones sensibles a la información es determinar si tiene una. Las ubicaciones de información sensible son habitaciones, oficinas e instalaciones donde hay computadoras que contienen datos sensibles o donde hay personas que tienen acceso a datos sensibles.
La seguridad física puede incluir.
Cerrar puertas, ventanas y armarios; usar sellos de seguridad en computadoras portátiles y dispositivos móviles; protección con contraseña para ordenadores; cifrado de datos confidenciales.
Las cámaras de circuito cerrado de televisión son una excelente manera de monitorear la actividad alrededor de las instalaciones o en áreas específicas de un edificio.
Estos pueden activarse mediante movimiento, calor o sonido y se utilizan para alertarle sobre intrusos o personas que no deberían estar en un área en particular (por ejemplo, una alarma que suena cuando alguien intenta irrumpir en la oficina).
Los atributos le permiten hacer coincidir rápidamente su selección de control con las especificaciones y terminología típicas de la industria. Los siguientes controles están disponibles en el control 7.3.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad en las relaciones con proveedores | #Gobernanza y #Protección de Ecosistemas |
El objetivo del Control 7.3 es evitar el acceso físico no autorizado, daños e interferencias a la información de la organización y otros activos asociados en oficinas, salas e instalaciones.
El objetivo principal del Control 7.3 es reducir el nivel de riesgo de acceso físico no autorizado a oficinas, salas e instalaciones, a un nivel aceptable mediante:
El control 7.3 se aplica a todos los edificios utilizados por la organización para oficinas o funciones administrativas. También se aplica a las salas donde se almacena o procesa información confidencial, incluidas las salas de reuniones donde se llevan a cabo debates delicados.
No se aplica a las áreas de recepción u otras áreas públicas de las instalaciones de una organización a menos que se utilicen con fines administrativos (por ejemplo, un área de recepción que también funciona como oficina).
El control 7.3 especifica que las habitaciones e instalaciones deben estar aseguradas. Se pueden tomar las siguientes medidas de seguridad, según las directrices de control de la norma ISO 27002:2022, para garantizar que las habitaciones e instalaciones sean seguras:
Puede obtener más información sobre lo que implica cumplir con los requisitos para el control en el documento estándar ISO 27002:2022.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Publicada originalmente en 2013, la revisión revisada de 2022 de ISO 27002 se publicó el 15 de febrero de 2022.
El control 7.3 no es un control nuevo. Se refiere a una versión modificada del control 11.1.3 en ISO 27002. Una diferencia importante entre las versiones 2013 y 2022 es el cambio en el número de control. El número de control 11.1.3 fue reemplazado por 7.3. Aparte de eso, el contexto y el significado son en gran medida los mismos, aunque la fraseología sea diferente.
Otra diferencia entre ambos controles es que la versión 2022 viene con una tabla de atributos y una declaración de propósito. Estas secciones no están disponibles en la versión 2013.
La primera persona a considerar cuando se trata de proteger oficinas, habitaciones e instalaciones es la persona que tiene mayor control sobre el edificio físico y su contenido. Esta persona suele ser el administrador o director de la instalación.
Luego está el director de seguridad. El gerente de seguridad es responsable de garantizar que todas las áreas estén seguras, incluidos los espacios de oficina y las instalaciones. El gerente de seguridad también está a cargo de realizar un seguimiento de todos los empleados que tienen acceso a estas áreas y de asegurarse de que estén utilizando su acceso de manera adecuada.
Sin embargo, en algunos casos, varias personas comparten las responsabilidades de la seguridad. Por ejemplo, cuando una persona tiene acceso a información confidencial que podría usarse en contra de los intereses de su empresa o de la vida personal de otros empleados, es importante contar con varias personas involucradas en su protección.
Un departamento de recursos humanos puede manejar las pólizas de seguro y los beneficios de los empleados, mientras que TI maneja los sistemas y redes informáticas; Ambos departamentos pueden intervenir en la gestión de la seguridad física, así como en cuestiones de seguridad cibernética, como estafas de phishing e intentos de acceso no autorizados.
No se requieren cambios importantes para cumplir con la versión más reciente de ISO 27002.
Sin embargo, debe evaluar su solución de seguridad de la información actual para asegurarse de que cumple con el estándar revisado. Si ha realizado alguna modificación desde que se lanzó la última edición en 2013, vale la pena revisar esos ajustes para determinar si aún son relevantes o si es necesario actualizarlos.
Nuestra plataforma ha sido desarrollada específicamente para aquellos que son nuevos en la seguridad de la información o necesitan una manera fácil de aprender sobre ISO 27002 sin tener que perder tiempo aprendiendo desde cero o leyendo documentos extensos.
ISMS.Online viene equipado con todas las herramientas necesarias para lograr el cumplimiento, incluidas plantillas de documentos, listas de verificación y políticas que se pueden personalizar según sus necesidades.
¿Quieres ver cómo funciona?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
