Cómo proteger su organización de amenazas físicas y ambientales
Las amenazas a los activos de información no son meramente digitales: la infraestructura física crítica de una organización que alberga los activos de información también está expuesta a amenazas ambientales y físicas que pueden resultar en pérdida, destrucción, robo y compromiso de activos de información y datos confidenciales.
Estas amenazas pueden incluir eventos naturales como terremotos, inundaciones e incendios forestales. También pueden incluir desastres provocados por el hombre, como disturbios civiles y actividades delictivas.
El Control 7.5 aborda cómo las organizaciones pueden evaluar, identificar y mitigar los riesgos para la infraestructura física crítica debido a amenazas físicas y ambientales.
Propósito del Control 7.5
Control 7.5 permite a las organizaciones medir la Posibles efectos adversos de amenazas ambientales y físicas. y mitigar y/o eliminar estos efectos mediante la implementación de medidas apropiadas.
Tabla de Atributos de Control 7.5
El Control 7.5 es un tipo de control preventivo que Requiere que las organizaciones eliminen y/o mitiguen las consecuencias. que probablemente surjan de riesgos externos como desastres naturales e incidentes provocados por el hombre.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad física | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
Propiedad del Control 7.5
Control 7.5 requiere que las organizaciones llevar a cabo una evaluación de riesgos en profundidad antes de comenzar cualquier operación en una instalación física e implementar las medidas necesarias acordes con el nivel de riesgo identificado.
Por lo tanto, los jefes de seguridad deben ser responsables de la creación, gestión, implementación y revisión de todo el proceso.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cumplimiento
El Control 7.5 especifica un proceso de tres pasos para identificar y eliminar riesgos debido a amenazas físicas y ambientales:
- Paso 1: completar una evaluación de riesgos
Las organizaciones deberían realizar una evaluación de riesgos identificar posibles desastres físicos y ambientales que pueden ocurrir en cada instalación física específica y luego medir los efectos que probablemente surjan debido a las amenazas físicas y ambientales identificadas.
Considerando que cada local físico e infraestructura en el mismo estará sujeto a diferentes condiciones ambientales y factores de riesgo físico, el tipo de amenaza y el nivel de riesgo identificado variarán según cada local y su ubicación.
Por ejemplo, si bien una instalación puede ser más vulnerable a los incendios forestales, otra puede estar ubicada en un área donde los terremotos ocurren con frecuencia.
Otro requisito crítico establecido por el control 7.5 es que esta evaluación de riesgos debe realizarse antes del inicio de las operaciones en una instalación física.
- Paso 2: Identificar e implementar controles
Según el tipo de amenaza y el nivel de riesgo identificado en el primer paso, las organizaciones deben implementar controles apropiados teniendo en cuenta las posibles consecuencias de las amenazas ambientales y físicas.
A modo de ilustración, el Control 7.5 proporciona ejemplos de controles que se pueden implementar para las siguientes amenazas:
Fuego: Las organizaciones deben implementar sistemas para activar alarmas cuando se detecta un incendio o para activar sistemas de extinción de incendios capaces de proteger los medios de almacenamiento y los sistemas de información contra daños.
Inundación: Se deben implementar y configurar sistemas para detectar inundaciones en áreas donde se almacenan activos de información. Además, las herramientas como las bombas de agua deben estar listas para usarse en caso de inundación.
Sobretensiones eléctricas: Servidores y críticos sistemas de gestión de información Deben mantenerse y protegerse contra cortes eléctricos.
Explosivos y Armas: Las organizaciones deberían realizar auditorías aleatorias e inspecciones de todas las personas, artículos y vehículos que ingresan a las instalaciones que albergan infraestructura crítica.
- Paso 3: Monitoreo
Teniendo en cuenta que el tipo de amenazas y el nivel de riesgos pueden cambiar con el tiempo, las organizaciones deben monitorear continuamente las evaluaciones de riesgos y reconsiderar los controles que implementaron si fuera necesario.
Orientación complementaria
El Control 7.5 enumera cuatro consideraciones específicas que las organizaciones deben tener en cuenta.
Consulta con expertos
Cada tipo específico de amenaza ambiental y física, ya sean desechos tóxicos, terremotos o incendios, es único en términos de su naturaleza, los riesgos que presenta y las contramedidas que requiere.
Por lo tanto, las organizaciones deben buscar asesoramiento de expertos sobre cómo identificar, eliminar y/o mitigar los riesgos que surgen de estas amenazas.
Elección de la ubicación del local
Tener en cuenta la topografía local, los niveles de agua y los movimientos tectónicos de la posible ubicación de las instalaciones puede ayudar a identificar y eliminar los riesgos desde el principio.
Además, las organizaciones deben considerar los riesgos de desastres provocados por el hombre en el área urbana elegida, como disturbios políticos y actividad criminal.
Capa adicional de seguridad
Además de los controles específicos implementados, almacenamiento seguro de información métodos como las cajas fuertes pueden añadir una capa adicional de seguridad contra desastres como incendios e inundaciones.
Prevención del delito a través del diseño ambiental
Control 7.5 recomienda que las organizaciones consideren este concepto al implementar controles para mejorar la seguridad de las instalaciones. Este método se puede utilizar para eliminar amenazas urbanas como actividades criminales, disturbios civiles y terrorismo.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Mientras que la versión 2013 abordó cómo las organizaciones deberían implementar medidas preventivas adecuadas contra amenazas físicas y ambientales, la versión 2022 es mucho más completa en términos de pasos de cumplimiento específicos que las organizaciones deberían tomar.
En general, existen dos diferencias clave:
- La versión 2022 proporciona orientación sobre el cumplimiento
La versión de 2013 no incluía ninguna orientación sobre cómo las organizaciones deberían identificar y eliminar los riesgos debidos a amenazas ambientales y físicas.
La versión 2022, en contrato, describe un proceso de tres pasos que las organizaciones deben seguir, incluida la realización de una evaluación de riesgos.
- La versión 2022 recomienda que las organizaciones consideren implementar una capa adicional de medidas
En la guía complementaria, la versión 2022 se refiere a medidas como el uso de cajas fuertes y la prevención del delito a través de conceptos de diseño ambiental que pueden utilizarse para mejorar la protección contra amenazas.
Por otra parte, la versión de 2013 no abordaba tales medidas adicionales.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
El sistema Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con sus riesgos y necesidades específicas de la organización.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
