ISO 27001 – Anexo A.6: Organización de la Seguridad de la Información

¿Cuál es el objetivo del Anexo A.6.1?

El anexo A.6.1 trata sobre la organización interna. El objetivo en esta área del Anexo A es establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.

Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001. Ahora comprendamos esos requisitos y lo que significan con un poco más de profundidad.

A.6.1.1 Funciones y responsabilidades de seguridad de la información

Es necesario definir y asignar todas las responsabilidades de seguridad de la información. Las responsabilidades de seguridad de la información pueden ser generales (por ejemplo, proteger la información) y/o específicas (por ejemplo, la responsabilidad de otorgar un permiso particular).

Se debe tener en cuenta la propiedad de los activos de información o grupos de activos al identificar las responsabilidades. Algunos ejemplos de roles comerciales que probablemente tengan cierta relevancia para la seguridad de la información incluyen: jefes de departamento; Propietarios de procesos de negocio; Gerente de las instalaciones; Gerente de Recursos Humanos; y Auditor Interno.

El auditor buscará asegurarse de que la organización haya dejado claro quién es responsable de qué de manera adecuada y proporcionada según el tamaño y la naturaleza de la organización. Para las organizaciones más pequeñas, generalmente no es realista tener roles de tiempo completo asociados con estos roles y responsabilidades.

Como tal, es importante aclarar las responsabilidades específicas de seguridad de la información dentro de los roles laborales existentes, por ejemplo, el Director de Operaciones o el CEO también podría ser el equivalente del CISO, el Director de Seguridad de la Información, con responsabilidad general sobre todo el SGSI. El CTO podría poseer todos los activos de información relacionados con la tecnología, etc.

A.6.1.2 Segregación de funciones

Los deberes y áreas de responsabilidad en conflicto deben segregarse para reducir las oportunidades de modificación o uso indebido no autorizado o involuntario de cualquiera de los activos de la organización.

La organización debe preguntarse si se ha considerado e implementado la segregación de funciones cuando corresponda. Las organizaciones más pequeñas pueden tener dificultades con esto, pero el principio debe aplicarse en la medida de lo posible y se deben implementar buenos controles y gobernanza para los activos de información de mayor riesgo/mayor valor, capturados como parte de la evaluación y el tratamiento de riesgos.

A.6.1.3 Contacto con las autoridades

Deben mantenerse contactos adecuados con las autoridades pertinentes. Al adaptar este control, recuerde pensar en las responsabilidades legales de contactar a autoridades como la Policía, la Oficina del Comisionado de Información u otros organismos reguladores, por ejemplo, en torno al RGPD.

Considere cómo se realizará ese contacto, quién, bajo qué circunstancias y la naturaleza de la información que se proporcionará.

A.6.1.4 Contacto con grupos de interés especial

También deben mantenerse contactos adecuados con grupos de intereses especiales u otros foros especializados en seguridad y asociaciones profesionales. Al adaptar este control a sus necesidades específicas, recuerde que las membresías de organismos profesionales, organizaciones industriales, foros y grupos de discusión cuentan para este control.

Es importante comprender la naturaleza de cada uno de estos grupos y con qué propósito se crearon (por ejemplo, si hay un propósito comercial detrás).

A.6.1.5 Seguridad de la información en la gestión de proyectos

La seguridad de la información debe abordarse en la gestión de proyectos, independientemente del tipo de proyecto. La seguridad de la información debe estar arraigada en el tejido de la organización y la gestión de proyectos es un área clave para ello. Recomendamos el uso de marcos de plantilla para proyectos que incluyan una lista de verificación simple y repetible para mostrar que se está considerando la seguridad de la información.

El auditor observará que todas las personas involucradas en los proyectos tengan la tarea de considerar la seguridad de la información en todas las etapas del ciclo de vida del proyecto, por lo que esto también debe cubrirse como parte de la educación y concientización de acuerdo con Seguridad de Recursos Humanos para A.7.2.2. .

Las organizaciones inteligentes también encajarán el A.6.1.5 con las obligaciones relacionadas con los datos personales y considerarán la seguridad desde el diseño junto con las Evaluaciones de Impacto de la Protección de Datos (DPIA) y procesos similares para demostrar el cumplimiento del Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Datos. 2018.

ISMS.online incorpora marcos y plantillas simples y prácticos para la seguridad de la información en la gestión de proyectos, así como DPIA y otras evaluaciones de datos personales relacionadas, por ejemplo, Evaluaciones de intereses legítimos (LIA).

¿Cuál es el objetivo del Anexo A.6.2?

El anexo A.6.2 trata sobre dispositivos móviles y teletrabajo. El objetivo en este ámbito del Anexo A es establecer un marco de gestión para garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

A.6 parece un lugar extraño para cubrir los dispositivos móviles y las políticas de teletrabajo, pero lo es, y casi todo en A.6.2 se conecta con otros controles del Anexo A, ya que gran parte de la vida laboral incluye la movilidad y el teletrabajo.

El teletrabajo en este caso también incluye a los trabajadores a domicilio y a aquellos en ubicaciones satélite que pueden no necesitar los mismos controles de infraestructura física que (digamos) la oficina central pero que, no obstante, están expuestos a información valiosa y activos relacionados.

A.6.2.1 Política de dispositivos móviles

Es necesario adoptar una política y medidas de seguridad de apoyo para gestionar los riesgos introducidos por el uso de teléfonos móviles y otros dispositivos móviles como ordenadores portátiles, tabletas, etc. A medida que los dispositivos móviles se vuelven cada vez más inteligentes, este ámbito político adquiere mucha más importancia más allá del uso tradicional de un teléfono móvil. teléfono. El uso de dispositivos móviles y el teletrabajo son al mismo tiempo una excelente oportunidad para el trabajo flexible y una potencial vulnerabilidad de seguridad.

BYOD o Bring Your Own Device también es una parte importante de la consideración. Si bien permitir que el personal utilice sus propios dispositivos tiene enormes beneficios, sin controles adecuados sobre el uso en la vida y especialmente la salida, las amenazas también pueden ser considerables.

Una organización debe asegurarse de que cuando se utilizan dispositivos móviles o el personal trabaja fuera del sitio, su información y la de los clientes y otras partes interesadas permanezca protegida e idealmente bajo su control. Eso se vuelve cada vez más difícil con el almacenamiento en la nube del consumidor, las copias de seguridad automatizadas y los dispositivos de propiedad personal compartidos por miembros de la familia.

Una organización debería considerar implementar una estrategia de “defensa en profundidad” con una combinación de controles físicos, técnicos y de políticas complementarios. Uno de los aspectos más importantes es la educación, la formación y la sensibilización sobre el uso de dispositivos móviles también en lugares públicos, evitando el riesgo de una conexión wifi "gratuita" que pueda comprometer la información rápidamente o impedir que observadores no invitados miren la pantalla durante el viaje en tren. hogar.

El auditor querrá comprobar que se implementen políticas y controles claros que garanticen que la información permanezca segura cuando se trabaja fuera de los sitios físicos de la organización. Las políticas deben cubrir las siguientes áreas:

• registro y gestión
• protección física
• restricciones sobre qué software se puede instalar, qué servicios y aplicaciones se pueden agregar y acceder, uso de desarrolladores autorizados y no autorizados
• Actualizaciones de dispositivos operativos y aplicaciones de parcheo.
• la clasificación de la información accesible y cualquier otra restricción de acceso a los activos (por ejemplo, falta de acceso a los activos críticos de la infraestructura)
• Expectativas sobre criptografía, malware y antivirus.
• requisitos de inicio de sesión, desactivación remota, borrado, bloqueo y "buscar mi dispositivo"
• respaldo y almacenamiento
• condiciones de acceso de la familia y otros usuarios (si es BYOD), por ejemplo, separación de cuentas
• uso en lugares públicos
• conectividad y redes confiables

A.6.2.2 Teletrabajo

También se debe implementar una política y medidas de seguridad de apoyo para proteger la información a la que se accede, procesa o almacena en los sitios de teletrabajo. El teletrabajo se refiere al trabajo desde casa y otros trabajos fuera del sitio, como en los sitios de proveedores o clientes. Para el personal que trabaja a distancia, la educación, la formación y la concienciación sobre los riesgos potenciales son fundamentales.

El auditor esperará ver decisiones relacionadas con el uso de dispositivos móviles y teletrabajo y medidas de seguridad basadas en una evaluación de riesgos adecuada, equilibrando la necesidad de un trabajo flexible con las posibles amenazas y vulnerabilidades que dicho uso introduciría.

El teletrabajo también está estrechamente relacionado con muchas de las otras áreas de control del Anexo A en A.6, A.8, A.9, A.10, A.11, A.12 y A.13, por lo que debe unirlas como parte del enfoque de oficina y teletrabajo para evitar duplicaciones y lagunas. A.7 también es esencial para acertar en la selección y contratación de teletrabajadores y la gestión a lo largo del ciclo de vida se vuelve clave para incluirla en las auditorías y demostrar a los auditores que los teletrabajadores no son una amenaza mal gestionada.