ISO 27002:2022, Control 8.12 – Prevención de fuga de datos

Controles revisados ​​ISO 27002:2022

Reserve una demostración

doble,exposición,de,negocios,hombre,mano,trabajando,en,pantalla en blanco

Propósito del Control 8.12

La fuga de datos puede describirse en términos generales como cualquier información a la que acceden, la transfieren o la extraen personal y sistemas internos y externos no autorizados, o fuentes maliciosas que tienen como objetivo la operación de información de una organización.

La fuga de datos es un problema común dentro de las organizaciones que manejan grandes cantidades de datos, de diferentes clasificaciones, en múltiples sistemas, aplicaciones y servidores de archivos de TIC independientes y vinculados.

Tabla de atributos

Control 8.12 es un doble propósito preventivo y detective controlar eso modifica el riesgo mediante la implementación de medidas técnicas que detecten y prevengan proactivamente la divulgación y/o extracción de información, ya sea por personal interno y/o externo, o sistemas lógicos.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridad Capacidades operativasDominios de seguridad
#Preventivo
#Detective 		#Confidencialidad#Proteger
#Detectar		#Protección de la información#Proteccion
#Defensa
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Propiedad del Control 8.12

Control 8.12 se ocupa de las operaciones de TIC que se realizan mediante el acceso del administrador del sistema y se incluyen en el ámbito de la gestión y el mantenimiento de la red. Como tal, la propiedad del Control 8.12 debe recaer en el Jefe de TI o su equivalente organizacional.

Orientación general sobre cumplimiento

La fuga de datos es difícil de erradicar por completo. Dicho esto, para minimizar los riesgos que son exclusivos de su operación, las organizaciones deberían:

  1. Clasifique los datos de acuerdo con estándares reconocidos de la industria (PII, datos comerciales, información de productos), para asignar diferentes niveles de riesgo en todos los ámbitos.

  2. Supervise de cerca los canales de datos conocidos que se utilizan mucho y son propensos a fugas (por ejemplo, correos electrónicos, transferencias de archivos internos y externos, dispositivos USB).

  3. Tome medidas proactivas para evitar la filtración de datos (por ejemplo, permisos de archivos sólidos y técnicas de autorización adecuadas).

  4. Restrinja la capacidad de un usuario para copiar y pegar datos (cuando corresponda) hacia y desde plataformas y sistemas específicos.

  5. Requerir autorización del titular de los datos antes de realizar cualquier exportación masiva.

  6. Considere administrar o evitar que los usuarios tomen capturas de pantalla o fotografíen monitores que muestren tipos de datos protegidos.

  7. Cifre las copias de seguridad que contienen información confidencial.

  8. Formular medidas de seguridad de puerta de enlace y medidas de prevención de fugas que protejan contra factores externos como (entre otros) espionaje industrial, sabotaje, interferencia comercial y/o robo de propiedad intelectual.

La prevención de fuga de datos está vinculada a muchas otras pautas de seguridad ISO que buscan salvaguardar la información y los datos en toda la red de una organización, incluidas medidas de control de acceso (ver Control 5.12) y gestión segura de documentos (ver Control 5.15).

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Orientación: herramientas de fuga de datos

Las organizaciones deberían considerar el uso de herramientas y programas de utilidad dedicados a la fuga de datos que:

  1. Trabaje en conjunto con el enfoque de la organización para la clasificación de datos e identifique el potencial de fuga dentro de los tipos de datos de alto riesgo.

  2. Detectar y alertar proactivamente sobre la transferencia y/o divulgación de datos, especialmente a sistemas, plataformas o aplicaciones para compartir archivos no autorizados.

  3. Reconocer los riesgos inherentes a ciertos métodos de transferencia de datos (por ejemplo, copiar información financiera de una base de datos a una hoja de cálculo).

Las herramientas de prevención de fuga de datos son intrusivas por su propia naturaleza y deben implementarse y gestionarse de acuerdo con cualquier requisito reglamentario o legislación que se ocupe de la privacidad del usuario.

Controles de apoyo

  • 5.12
  • 5.15

Cambios y diferencias con respecto a ISO 27002:2013

Ninguno. ISO 27002:2022-8.12 es un nuevo control sin contraparte en ISO 27002:2003.

Cómo ayuda ISMS.online

Nuestra plataforma basada en la nube le permite gestionar rápida y fácilmente todos los aspectos de su SGSI, incluida la gestión de riesgos, políticas, planes, procedimientos y más, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.

ISMS.Online le permite:

  • Documente sus procesos utilizando una interfaz web intuitiva sin necesidad de instalar ningún software en su computadora o red.

  • Automatice su proceso de evaluación de riesgos.

  • Demuestre el cumplimiento fácilmente con informes y listas de verificación en línea.

  • Realice un seguimiento del progreso mientras trabaja para obtener la certificación.

Contáctenos hoy para RESERVAR UNA DEMOSTRACIÓN.

¿Estás listo para
la nueva ISO 27002

Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más