Las amenazas a los activos de información no son meramente digitales: la infraestructura física crítica de una organización que alberga los activos de información también está expuesta a amenazas ambientales y físicas que pueden resultar en pérdida, destrucción, robo y compromiso de activos de información y datos confidenciales.
Estas amenazas pueden incluir eventos naturales como terremotos, inundaciones e incendios forestales. También pueden incluir desastres provocados por el hombre, como disturbios civiles y actividades delictivas.
El Control 7.5 aborda cómo las organizaciones pueden evaluar, identificar y mitigar los riesgos para la infraestructura física crítica debido a amenazas físicas y ambientales.
Control 7.5 permite a las organizaciones medir la Posibles efectos adversos de amenazas ambientales y físicas. y mitigar y/o eliminar estos efectos mediante la implementación de medidas apropiadas.
El Control 7.5 es un tipo de control preventivo que Requiere que las organizaciones eliminen y/o mitiguen las consecuencias. que probablemente surjan de riesgos externos como desastres naturales e incidentes provocados por el hombre.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física | #Proteccion |
Control 7.5 requiere que las organizaciones llevar a cabo una evaluación de riesgos en profundidad antes de comenzar cualquier operación en una instalación física e implementar las medidas necesarias acordes con el nivel de riesgo identificado.
Por lo tanto, los jefes de seguridad deben ser responsables de la creación, gestión, implementación y revisión de todo el proceso.
El Control 7.5 especifica un proceso de tres pasos para identificar y eliminar riesgos debido a amenazas físicas y ambientales:
Las organizaciones deberían realizar una evaluación de riesgos identificar posibles desastres físicos y ambientales que pueden ocurrir en cada instalación física específica y luego medir los efectos que probablemente surjan debido a las amenazas físicas y ambientales identificadas.
Considerando que cada local físico e infraestructura en el mismo estará sujeto a diferentes condiciones ambientales y factores de riesgo físico, el tipo de amenaza y el nivel de riesgo identificado variarán según cada local y su ubicación.
Por ejemplo, si bien una instalación puede ser más vulnerable a los incendios forestales, otra puede estar ubicada en un área donde los terremotos ocurren con frecuencia.
Otro requisito crítico establecido por el control 7.5 es que esta evaluación de riesgos debe realizarse antes del inicio de las operaciones en una instalación física.
Según el tipo de amenaza y el nivel de riesgo identificado en el primer paso, las organizaciones deben implementar controles apropiados teniendo en cuenta las posibles consecuencias de las amenazas ambientales y físicas.
A modo de ilustración, el Control 7.5 proporciona ejemplos de controles que se pueden implementar para las siguientes amenazas:
Fuego: Las organizaciones deben implementar sistemas para activar alarmas cuando se detecta un incendio o para activar sistemas de extinción de incendios capaces de proteger los medios de almacenamiento y los sistemas de información contra daños.
Inundación: Se deben implementar y configurar sistemas para detectar inundaciones en áreas donde se almacenan activos de información. Además, las herramientas como las bombas de agua deben estar listas para usarse en caso de inundación.
Sobretensiones eléctricas: Servidores y críticos sistemas de gestión de información Deben mantenerse y protegerse contra cortes eléctricos.
Explosivos y Armas: Las organizaciones deberían realizar auditorías aleatorias e inspecciones de todas las personas, artículos y vehículos que ingresan a las instalaciones que albergan infraestructura crítica.
Teniendo en cuenta que el tipo de amenazas y el nivel de riesgos pueden cambiar con el tiempo, las organizaciones deben monitorear continuamente las evaluaciones de riesgos y reconsiderar los controles que implementaron si fuera necesario.
El único cumplimiento
solución que necesitas
Reserva tu demostración
El Control 7.5 enumera cuatro consideraciones específicas que las organizaciones deben tener en cuenta.
Cada tipo específico de amenaza ambiental y física, ya sean desechos tóxicos, terremotos o incendios, es único en términos de su naturaleza, los riesgos que presenta y las contramedidas que requiere.
Por lo tanto, las organizaciones deben buscar asesoramiento de expertos sobre cómo identificar, eliminar y/o mitigar los riesgos que surgen de estas amenazas.
Tener en cuenta la topografía local, los niveles de agua y los movimientos tectónicos de la posible ubicación de las instalaciones puede ayudar a identificar y eliminar los riesgos desde el principio.
Además, las organizaciones deben considerar los riesgos de desastres provocados por el hombre en el área urbana elegida, como disturbios políticos y actividad criminal.
Además de los controles específicos implementados, almacenamiento seguro de información métodos como las cajas fuertes pueden añadir una capa adicional de seguridad contra desastres como incendios e inundaciones.
Control 7.5 recomienda que las organizaciones consideren este concepto al implementar controles para mejorar la seguridad de las instalaciones. Este método se puede utilizar para eliminar amenazas urbanas como actividades criminales, disturbios civiles y terrorismo.
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Mientras que la versión 2013 abordó cómo las organizaciones deberían implementar medidas preventivas adecuadas contra amenazas físicas y ambientales, la versión 2022 es mucho más completa en términos de pasos de cumplimiento específicos que las organizaciones deberían tomar.
En general, existen dos diferencias clave:
La versión de 2013 no incluía ninguna orientación sobre cómo las organizaciones deberían identificar y eliminar los riesgos debidos a amenazas ambientales y físicas.
La versión 2022, en contrato, describe un proceso de tres pasos que las organizaciones deben seguir, incluida la realización de una evaluación de riesgos.
En la guía complementaria, la versión 2022 se refiere a medidas como el uso de cajas fuertes y la prevención del delito a través de conceptos de diseño ambiental que pueden utilizarse para mejorar la protección contra amenazas.
Por otra parte, la versión de 2013 no abordaba tales medidas adicionales.
El Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con sus riesgos y necesidades específicas de la organización.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
