ISO 27001:2022 Anexo A Control 6.7

¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:6.7?

El objetivo de ISO 27001:2022 Anexo A 6.7 es garantizar que el personal remoto tenga implementados los controles de acceso necesarios para salvaguardar la confidencialidad, integridad y disponibilidad de información, procedimientos y sistemas confidenciales o propietarios frente al acceso o divulgación no autorizados por parte de personas no autorizadas.

Las organizaciones deben garantizar la seguridad de la información cuando el personal opera de forma remota. Por lo tanto, deberían emitir una política personalizada sobre el trabajo remoto que establezca las condiciones y límites aplicables para la seguridad de los datos. Esta política debe difundirse a todo el personal, incluida la instrucción sobre cómo utilizar tecnologías de acceso remoto de forma segura.

Es probable que esta política aborde:

• Las condiciones bajo las cuales se permite el trabajo remoto.
• Procesos para garantizar que los trabajadores remotos tengan acceso a información confidencial.
• Garantizar que la información esté salvaguardada cuando se transmite entre diferentes ubicaciones físicas implica cumplir con ciertos procedimientos.

Es esencial establecer una clara sistema de reporte de incidencias, incluida la información de contacto correcta. Esto puede ayudar a prevenir violaciones de seguridad u otros incidentes.

La política también debe cubrir cifrado, firewalls, actualizaciones de software antivirus e instrucción a los empleados sobre cómo utilizar conexiones remotas de forma segura.

Qué implica y cómo cumplir los requisitos

Para cumplir con el Anexo A 6.7, las organizaciones que ofrecen trabajo remoto deben emitir una política con respecto al trabajo remoto que especifique las regulaciones y límites relacionados.

La política debe evaluarse periódicamente, especialmente cuando se modifica la tecnología o la legislación.

Todo el personal, contratistas y entidades involucradas en actividades de trabajo remoto deben ser informados de la política.

La política debe documentarse, hacerse accesible a las partes interesadas, como reguladores y auditores, y mantenerse actualizada.

Las organizaciones deben asegurarse de contar con las medidas de seguridad necesarias para proteger la información sensible o confidencial transmitida o almacenada electrónicamente durante las operaciones remotas.

De acuerdo con el Anexo A 6.7, se deberá tener en cuenta lo siguiente:

• Considere la seguridad física del sitio de trabajo remoto, tanto existente como propuesto, que abarque la seguridad del lugar, el área circundante y los sistemas legales de las regiones en las que se encuentra el personal.
• Reglas de entorno físico seguro, como archivadores con cerradura, transporte seguro entre sitios, regulaciones de acceso remoto, escritorio despejado, impresión y eliminación de datos y activos relacionados, así como informar sobre eventos de seguridad, debe implementarse.
• Los entornos físicos previstos para el trabajo remoto.
• Deben garantizarse comunicaciones seguras, teniendo en cuenta las necesidades de acceso remoto de la organización, la sensibilidad de los datos transferidos y la vulnerabilidad de los sistemas y aplicaciones.
• El acceso remoto, como el acceso al escritorio virtual, permite el procesamiento y almacenamiento de información en dispositivos personales.
• El peligro del acceso no autorizado a datos o activos por parte de personas fuera del espacio de trabajo remoto (como familiares y amigos) es real.
• El riesgo de acceso no autorizado a datos o activos por parte de personas en áreas públicas es motivo de preocupación.
• Es necesario el empleo de redes tanto domésticas como públicas, así como reglas o prohibiciones relacionadas con la instalación de servicios de redes inalámbricas.
• Es esencial emplear medidas de seguridad, como firewalls y protección antimalware.
• Asegúrese de que los sistemas se puedan implementar e iniciar de forma remota con protocolos seguros.
• Se deben habilitar mecanismos de autenticación seguros para otorgar privilegios de acceso, teniendo en cuenta la susceptibilidad de los mecanismos de autenticación de un solo factor cuando se autoriza el acceso remoto a la red de la organización.

Las directrices y medidas a tener en cuenta deberían incluir:

• La organización deberá proporcionar equipos y mobiliario de almacenamiento adecuados para las actividades de trabajo a distancia, prohibiendo el uso de equipos de propiedad privada que no estén bajo su control.
• Este trabajo implica lo siguiente: definir el trabajo permitido, clasificar la información que se puede conservar y autorizar a los trabajadores remotos a acceder a los sistemas y servicios internos.
• Se debe brindar capacitación a quienes trabajan de forma remota y a quienes ofrecen apoyo. Esto debería cubrir cómo realizar negocios de forma segura fuera de la oficina.
• Es esencial garantizar que se proporcione el equipo de comunicación adecuado, como requerir bloqueos de pantalla del dispositivo y temporizadores de inactividad para el acceso remoto.
• Es posible habilitar el seguimiento de la ubicación del dispositivo.
• La instalación de capacidades de borrado remoto es imprescindible.
• Seguridad física.
• Se deben seguir las pautas y reglas con respecto al acceso de familiares y visitantes a equipos y datos.
• La empresa proporciona soporte y mantenimiento de hardware y software.
• La provisión de seguros.
• El protocolo para respaldo de datos y continuidad de operaciones.
• Auditoría y monitoreo de seguridad..
• Al finalizar las actividades de trabajo remoto, se deben revocar la autoridad y los derechos de acceso y se deben devolver todos los equipos.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 6.7 es una adaptación del Anexo A 6.2.2 de ISO 27001:2013 y no un elemento nuevo.

ISO 27001:2022 Anexo A 6.7 y 6.2.2 comparten muchas similitudes, aunque la nomenclatura y la redacción difieren. En ISO 27001:2013, 6.2.2 se denomina teletrabajo, mientras que 6.7 se conoce como trabajo remoto. Este cambio se refleja en la nueva versión de la norma, que sustituye el teletrabajo por el trabajo a distancia.

En el Anexo A 6.7 de la norma ISO 27001:2022, la norma describe lo que se considera trabajo remoto, incluido el teletrabajo (el nombre de control inicial en la versión ISO 27001:2013).

La versión 2022 de las pautas de implementación es muy similar, aunque el lenguaje y los términos difieren. Para garantizar que los usuarios comprendan el estándar, se emplea un lenguaje fácil de usar.

Se hicieron algunas adiciones en el Anexo A 6.7 y algunas eliminaciones en 6.2.2.

Agregado al Anexo A 27001 de ISO 2022:6.7 Trabajo remoto

• Garantice la seguridad física con archivadores con cerradura, proporcione transporte seguro e instrucciones de acceso, exija políticas de escritorio claras, describa protocolos de impresión/eliminación de información/activos e implemente un sistema de respuesta a incidentes.
• Se prevé que la gente trabajará de forma remota. Se esperan circunstancias físicas.
• El riesgo de acceso no autorizado a información o recursos por parte de extraños en áreas públicas.
• Métodos seguros para la implementación y configuración remota de sistemas.
• Existen mecanismos seguros para autenticar y permitir privilegios de acceso, teniendo en cuenta la susceptibilidad de los mecanismos de autenticación de un solo factor cuando se habilita el acceso remoto a la red de la organización.

Eliminado del Anexo A de ISO 27001:2013 6.2.2 Teletrabajo

• Es necesaria la implementación de redes domésticas y las regulaciones o limitaciones en la configuración de servicios de redes inalámbricas.
• Deben instituirse políticas y procedimientos para mitigar las disputas relativas a los derechos de propiedad intelectual desarrollados en equipos de propiedad privada.
• La ley puede prohibir el acceso a maquinaria de propiedad privada (para garantizar su seguridad o con fines de investigación).
• Las organizaciones pueden ser responsables de las licencias de software en estaciones de trabajo de propiedad privada de su personal o de usuarios externos.

ISO 27001:2022 proporciona declaraciones de propósito y tablas de atributos para cada control, lo que ayuda a los usuarios a comprender y poner en práctica los controles de manera más efectiva.

La versión ISO 27001:2013 carece de estos dos componentes.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

¿Quién está a cargo de este proceso?

El deber principal de diseñar un política de seguridad de la información para los empleados remotos recae en el responsable de seguridad de la información de la organización. Sin embargo, otras partes interesadas también deberían participar en el proceso.

Los gerentes de TI y recursos humanos son conjuntamente responsables de garantizar que la política se implemente y se mantenga, y que los empleados la comprendan y la cumplan.

Si tiene un programa de gestión de proveedores, es probable que la persona responsable de gestionar los contratistas y proveedores sea responsable de formular una política de seguridad para los trabajadores externos de ese departamento.

¿Qué significan estos cambios para usted?

ISO 27001:2022 permanece prácticamente sin cambios; por lo tanto, simplemente necesita asegurarse de que sus procesos de seguridad de la información cumplan con la nueva versión.

El principal cambio fue alterar algunos controles y aclarar ciertos requisitos. El Anexo A 6.7 tuvo el efecto más significativo: si subcontrata operaciones o emplea personas de forma remota, debe asegurarse de que tengan las medidas de seguridad adecuadas.

Si su organización ya posee una Certificación ISO 27001, el proceso que usted emplee para gestionar la seguridad de la información satisfará las nuevas regulaciones.

Si buscas renovar tu ISO 27001 certificación, no necesita realizar ninguna acción. Sólo asegúrese de que sus procedimientos sigan cumpliendo con el nuevo estándar.

Si estás empezando desde el principio, es necesario considerar cómo salvaguardar los datos y la información de tu empresa contra ciberataques y otros riesgos.

Es esencial tomarse en serio los riesgos cibernéticos y gestionarlos como parte del plan de negocios general, en lugar de considerarlos únicamente como un problema para los departamentos de TI o de seguridad.

Cómo ayuda ISMS.online

El Plataforma en línea ISMS ayuda con todas las facetas de la implementación de ISO 27001:2022, desde la realización de actividades de evaluación de riesgos hasta el diseño de políticas, procedimientos y directivas para satisfacer las especificaciones de la norma.

ISMS.online proporciona una plataforma para documentar y compartir hallazgos con colegas. Además, le permite generar y almacenar listas de verificación de todas las tareas necesarias para la implementación de ISO 27001, lo que le permite monitorear cómodamente las medidas de seguridad de su organización.

Proporcionamos a las organizaciones un conjunto de herramientas automatizadas para que la demostración del cumplimiento de la norma ISO 27001 sea sencilla.

Contáctenos ahora para reservar una demostración.