Propósito del Control 7.4
Control 7.4 es un nuevo tipo de control que Requiere que las organizaciones detecten y prevengan problemas externos e internos. intrusos que entren en áreas físicas restringidas sin permiso mediante la instalación de herramientas de vigilancia adecuadas.
Estas herramientas de vigilancia monitorean y registran constantemente áreas de acceso restringido y protegen a la organización contra los riesgos que pueden surgir como resultado del acceso no autorizado, incluidos, entre otros:
- Robo de datos sensibles.
- Pérdida de activos de información.
- Daño financiero.
- Robo de activos de medios extraíbles para uso malicioso.
- Infección de activos de TI con un malware.
- Ataques de ransomware que pueden ser realizados por un intruso.
Tabla de atributos de controles 7.4
El Control 7.4 es de naturaleza detectivesca y preventiva. Permite a las organizaciones mantener la integridad, confidencialidad, disponibilidad y Seguridad de datos sensibles y activos de información críticos. controlando continuamente el acceso a locales restringidos.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad física | #Proteccion |
| #Detective | #Integridad | #Detectar | #Defensa | |
| #Disponibilidad |
Propiedad del Control 7.4
El cumplimiento del Control 7.4 requiere la identificación de todas las áreas restringidas y la determinación de herramientas de vigilancia apropiadas para el área física relevante.
Por lo tanto, los jefes de seguridad deben ser responsables de la adecuada implementación, mantenimiento, gestión y revisión de los sistemas de vigilancia.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cómo cumplir
El Control 7.4 requiere que las organizaciones implementen estos tres pasos para detectar e impedir el acceso no autorizado a instalaciones que albergan activos de información críticos:
- Paso 1: Implementar un sistema de monitoreo por video
Las organizaciones deben contar con un sistema de videovigilancia, como por ejemplo una cámara CCTV, para monitorear continuamente el acceso a áreas restringidas que albergan activos de información críticos. Además, este sistema de vigilancia debe mantener un registro de todas las entradas al local físico.
- Paso 2: instale detectores para activar una alarma
Activar una alarma cuando un intruso accede a las instalaciones físicas permite al equipo de seguridad responder rápidamente a las violaciones de seguridad. Además, también puede resultar eficaz para disuadir al intruso.
Las organizaciones deben utilizar detectores de movimiento, sonido y contacto que activen una alarma cuando se detecte una actividad inusual dentro de las instalaciones físicas.
En particular:
- Se debe instalar un detector de contacto que debe activar una alarma cuando un objeto/individuo desconocido entra en contacto con un objeto o rompe el contacto con un objeto. Por ejemplo, se puede configurar un detector de contacto para activar una alarma cuando se entra en contacto con una ventana o una puerta.
- Los detectores de movimiento se pueden programar para iniciar una alarma cuando se detecta el movimiento de un objeto dentro de su rango de visión.
- Los detectores de sonido, como los detectores de rotura de cristales, se pueden activar cuando se detecta un sonido.
- Paso 3: Configuración de alarmas para proteger todas las instalaciones internas.
El tercer paso de cumplimiento requiere la configuración del sistema de alarma para garantizar que todas las áreas sensibles, incluidas todas las puertas externas, ventanas, áreas desocupadas y salas de computadoras, estén dentro del alcance del sistema de alarma para que no haya ninguna vulnerabilidad que pueda explotarse.
Por ejemplo, si no se vigilan locales como las zonas de fumadores o incluso las entradas de los gimnasios, los intrusos pueden utilizarlos como vectores de ataque.
Tipos de sistemas de vigilancia
Si bien el Control 7.4 no establece que las organizaciones deban elegir e implementar un sistema de vigilancia específico sobre otras alternativas, enumera una variedad de herramientas de vigilancia que se pueden usar por separado o en combinación con otras:
- Cámaras CCTV
- Guardias de seguridad
- Alarmas de seguridad para intrusos
- Herramientas de software para física. gestion de seguridad
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Orientación complementaria sobre control 7.4
El Control 7.4 destaca que las organizaciones deben tener en cuenta lo siguiente al implementar sistemas de monitoreo de seguridad física:
- El diseño y el funcionamiento interno de los sistemas de seguimiento deben mantenerse confidenciales.
- Apropiado Se deben implementar medidas para evitar la divulgación de información de seguimiento. actividades y transmisiones de video a partes no autorizadas y para eliminar el riesgo de desactivación remota de los sistemas de monitoreo por parte de partes malintencionadas.
- Los paneles de control de alarma deben estar ubicados en una zona alarmada y debe haber una salida fácil y segura para la persona que activa la alarma.
- Todos los detectores utilizados y los paneles de control de alarma utilizados deben ser a prueba de manipulaciones.
- El seguimiento y registro de personas a través de sistemas de vigilancia, incluso cuando sea para fines legítimos, debe cumplir con todas las leyes y regulaciones aplicables, en particular las leyes de protección de datos. Por ejemplo, el RGPD de la UE y el Reino Unido puede requerir que las organizaciones lleven a cabo una evaluación de impacto antes del despliegue de cámaras CCTV. Además, la grabación de transmisiones de vídeo debe cumplir con los períodos de retención de datos establecidos por las leyes locales aplicables.
Cambios y diferencias con respecto a ISO 27002:2013
El control 7.4 es a nuevo control que no fue abordado en ISO 27002:2013 en cualquier capacidad.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
El sistema Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con los riesgos y necesidades específicos de su organización. También permite la colaboración entre colegas y socios externos, como proveedores o auditores externos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
