ISO 27002:2022, Control 7.4 – Monitoreo de la seguridad física

Controles revisados ​​ISO 27002:2022

Reserve una demostración

mezcla,cultural,de,jóvenes,gente,trabajando,en,una,empresa

El acceso no autorizado a áreas físicas restringidas, como salas de servidores y salas de equipos de TI, puede provocar la pérdida de confidencialidad, disponibilidad, integridad y seguridad de los activos de información.

El Control 7.4 trata de la implementación de sistemas de vigilancia apropiados para impedir el acceso no autorizado por intrusos a locales físicos sensibles.

Propósito del Control 7.4

Control 7.4 es un nuevo tipo de control que Requiere que las organizaciones detecten y prevengan problemas externos e internos. intrusos que entren en áreas físicas restringidas sin permiso mediante la instalación de herramientas de vigilancia adecuadas.

Estas herramientas de vigilancia monitorean y registran constantemente áreas de acceso restringido y protegen a la organización contra los riesgos que pueden surgir como resultado del acceso no autorizado, incluidos, entre otros:

  • Robo de datos sensibles.
  • Pérdida de activos de información.
  • Daño financiero.
  • Robo de activos de medios extraíbles para uso malicioso.
  • Infección de activos de TI con un malware.
  • Ataques de ransomware que pueden ser realizados por un intruso.

Tabla de atributos

El Control 7.4 es de naturaleza detectivesca y preventiva. Permite a las organizaciones mantener la integridad, confidencialidad, disponibilidad y Seguridad de datos sensibles y activos de información críticos. controlando continuamente el acceso a locales restringidos.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo
#Detective 		#Confidencialidad
#Integridad
#Disponibilidad		#Proteger
#Detectar		#Seguridad física#Proteccion
#Defensa

Propiedad del Control 7.4

El cumplimiento del Control 7.4 requiere la identificación de todas las áreas restringidas y la determinación de herramientas de vigilancia apropiadas para el área física relevante.

Por lo tanto, los jefes de seguridad deben ser responsables de la adecuada implementación, mantenimiento, gestión y revisión de los sistemas de vigilancia.

Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Orientación general sobre cómo cumplir

El Control 7.4 requiere que las organizaciones implementen estos tres pasos para detectar e impedir el acceso no autorizado a instalaciones que albergan activos de información críticos:

  • Paso 1: Implementar un sistema de monitoreo por video

Las organizaciones deben contar con un sistema de videovigilancia, como por ejemplo una cámara CCTV, para monitorear continuamente el acceso a áreas restringidas que albergan activos de información críticos. Además, este sistema de vigilancia debe mantener un registro de todas las entradas al local físico.

  • Paso 2: instale detectores para activar una alarma

Activar una alarma cuando un intruso accede a las instalaciones físicas permite al equipo de seguridad responder rápidamente a las violaciones de seguridad. Además, también puede resultar eficaz para disuadir al intruso.

Las organizaciones deben utilizar detectores de movimiento, sonido y contacto que activen una alarma cuando se detecte una actividad inusual dentro de las instalaciones físicas.

En particular:

  • Se debe instalar un detector de contacto que debe activar una alarma cuando un objeto/individuo desconocido entra en contacto con un objeto o rompe el contacto con un objeto. Por ejemplo, se puede configurar un detector de contacto para activar una alarma cuando se entra en contacto con una ventana o una puerta.

  • Los detectores de movimiento se pueden programar para iniciar una alarma cuando se detecta el movimiento de un objeto dentro de su rango de visión.

  • Los detectores de sonido, como los detectores de rotura de cristales, se pueden activar cuando se detecta un sonido.
  • Paso 3: Configuración de alarmas para proteger todas las instalaciones internas.

El tercer paso de cumplimiento requiere la configuración del sistema de alarma para garantizar que todas las áreas sensibles, incluidas todas las puertas externas, ventanas, áreas desocupadas y salas de computadoras, estén dentro del alcance del sistema de alarma para que no haya ninguna vulnerabilidad que pueda explotarse.

Por ejemplo, si no se vigilan locales como las zonas de fumadores o incluso las entradas de los gimnasios, los intrusos pueden utilizarlos como vectores de ataque.

Nuestro reciente éxito al lograr la certificación ISO 27001, 27017 y 27018 se debió en gran parte a ISMS.online.

karen burton
analista de seguridad, Prosperar la salud

Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Tipos de sistemas de vigilancia

Si bien el Control 7.4 no establece que las organizaciones deban elegir e implementar un sistema de vigilancia específico sobre otras alternativas, enumera una variedad de herramientas de vigilancia que se pueden usar por separado o en combinación con otras:

  • Cámaras CCTV
  • Guardias de seguridad
  • Alarmas de seguridad para intrusos
  • Herramientas de software para física. gestion de seguridad

Orientación complementaria sobre control 7.4

El Control 7.4 destaca que las organizaciones deben tener en cuenta lo siguiente al implementar sistemas de monitoreo de seguridad física:

  • El diseño y el funcionamiento interno de los sistemas de seguimiento deben mantenerse confidenciales.

  • Apropiado Se deben implementar medidas para evitar la divulgación de información de seguimiento. actividades y transmisiones de video a partes no autorizadas y para eliminar el riesgo de desactivación remota de los sistemas de monitoreo por parte de partes malintencionadas.

  • Los paneles de control de alarma deben estar ubicados en una zona alarmada y debe haber una salida fácil y segura para la persona que activa la alarma.

  • Todos los detectores utilizados y los paneles de control de alarma utilizados deben ser a prueba de manipulaciones.

  • El seguimiento y registro de personas a través de sistemas de vigilancia, incluso cuando sea para fines legítimos, debe cumplir con todas las leyes y regulaciones aplicables, en particular las leyes de protección de datos. Por ejemplo, el RGPD de la UE y el Reino Unido puede requerir que las organizaciones lleven a cabo una evaluación de impacto antes del despliegue de cámaras CCTV. Además, la grabación de transmisiones de vídeo debe cumplir con los períodos de retención de datos establecidos por las leyes locales aplicables.

Cambios y diferencias con respecto a ISO 27002:2013

El control 7.4 es a nuevo control que no fue abordado en ISO 27002:2013 en cualquier capacidad.

Cómo ayuda ISMS.online

El Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.

El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con los riesgos y necesidades específicos de su organización. También permite la colaboración entre colegas y socios externos, como proveedores o auditores externos.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más