ISO 27001:2022 Anexo A Control 8.1

Orientación general sobre el cumplimiento de ISO 27001:2022 Anexo A 8.1

Las organizaciones deben, según ISO 27001:2022 Anexo Al 8.1, crear una política que cubra la configuración segura y el uso de los dispositivos terminales de los usuarios.

El personal debe ser consciente de esta política, que abarca:

• ¿Qué tipo de datos, especialmente en términos de nivel de seguridad, se pueden procesar, guardar o utilizar en los puntos finales de los usuarios?
• Los dispositivos deben estar registrados.
• La protección física de los dispositivos es obligatoria.
• Está prohibido instalar programas de software en los dispositivos.
• Se deben seguir las reglas para instalar software en dispositivos y actualizar software.
• Las reglas que rigen la conexión de los dispositivos terminales de los usuarios a la red pública o a redes ubicadas fuera del sitio.
• Controles de acceso.
• Los medios de almacenamiento que albergan los activos de información deben estar cifrados.
• Los dispositivos estarán protegidos contra intrusiones de malware.
• Los dispositivos se pueden desactivar o prohibir su uso, y los datos almacenados en ellos se pueden eliminar de forma remota.
• Deben existir planes y protocolos de respaldo.
• Normas relativas al uso de aplicaciones y servicios web.
• Analizar el comportamiento del usuario final para obtener información sobre cómo interactúan con el sistema.
• Se pueden utilizar con gran éxito medios de almacenamiento extraíbles, como unidades USB. Además, los puertos físicos, por ejemplo, los puertos USB, se pueden desactivar.
• Las capacidades de segregación se pueden utilizar para mantener los activos de información de la organización distintos de otros activos guardados en el dispositivo del usuario.

Las organizaciones deberían pensar en prohibir el almacenamiento de datos delicados en los dispositivos finales de los usuarios mediante controles técnicos, según la Guía General.

Entre los controles técnicos empleados puede estar la desactivación de funciones de almacenamiento local, como las tarjetas SD.

Las organizaciones deben implementar la gestión de la configuración como se describe en el Anexo A Control 27001 de la norma ISO 2022:8.9 y utilizar herramientas automatizadas.

Orientación complementaria sobre la responsabilidad del usuario

Se debe informar al personal sobre las medidas de seguridad. medidas para los dispositivos terminales de los usuarios y sus deberes para cumplirlas. Además, deben comprender su papel en la implementación de estas medidas y procedimientos.

Las organizaciones deben indicar al personal que observe las siguientes regulaciones y procesos:

• Una vez que un servicio ya no es necesario o una sesión ha finalizado, los usuarios deben cerrar sesión y finalizar el servicio.
• El personal no debe dejar sus dispositivos sin supervisión. Cuando no esté en uso, el personal debe garantizar la seguridad de sus dispositivos mediante el uso de medidas físicas como cerraduras con llave y medidas técnicas como contraseñas seguras.
• El personal debe tener especial cuidado al utilizar dispositivos terminales que contengan datos confidenciales en lugares públicos que carezcan de seguridad.
• Los dispositivos terminales de los usuarios deben protegerse contra robos, particularmente en lugares peligrosos como habitaciones de hotel, salas de reuniones o transporte público.

Las organizaciones deberían idear un sistema especial para gestionar la pérdida o el robo de los dispositivos terminales de los usuarios. Este sistema debe construirse considerando necesidades legales, contractuales y de seguridad.

Guía complementaria sobre el uso de dispositivos personales (BYOD)

Permitir que el personal utilice sus propios dispositivos para actividades relacionadas con el trabajo puede ahorrar dinero a las organizaciones; sin embargo, expone los datos confidenciales a riesgos potenciales.

ISO 27001:2022 Anexo A 8.1 sugiere cinco cosas que las organizaciones deben tener en cuenta al permitir que el personal utilice sus dispositivos personales para actividades relacionadas con el trabajo:

1. Se deben implementar medidas técnicas, como herramientas de software, para separar el uso personal y comercial de los dispositivos, salvaguardando la información de la organización.
2. El personal puede tener acceso a su propio dispositivo siempre que dé su consentimiento a lo siguiente:
• El personal reconoce su deber de salvaguardar físicamente los dispositivos y cumplir con las actualizaciones de software esenciales.
• El personal se compromete a no hacer valer ningún derecho de propiedad sobre los datos de la empresa.
• El personal coincide en que los datos del dispositivo se pueden borrar de forma remota en caso de pérdida o robo, de acuerdo con las pautas legales para información personal.
3. Establecer pautas sobre los derechos de propiedad intelectual generados mediante dispositivos de punto final de usuario.
4. Respecto a las restricciones legales a dicho acceso, cómo se accederá a los dispositivos privados del personal.
5. Permitir que el personal utilice sus dispositivos individuales puede generar responsabilidad legal causada por la aplicación de software de terceros en estos dispositivos. Las empresas deberían reflexionar sobre los acuerdos de licencia de software que poseen con sus proveedores.

Orientación complementaria sobre conexiones inalámbricas

Las organizaciones deben crear y mantener prácticas para:

• La configuración de las conexiones inalámbricas en los dispositivos debe realizarse con cuidado. Asegúrese de que cada conexión sea segura y confiable.
• Se deben utilizar conexiones inalámbricas o por cable, con ancho de banda para cumplir con las políticas específicas del tema.

Orientación adicional sobre el Anexo A 8.1

Cuando los empleados sacan sus dispositivos finales de la organización, los datos almacenados en ellos podrían correr un mayor riesgo de verse comprometidos. En consecuencia, las organizaciones deben implementar diferentes medidas de seguridad para los dispositivos utilizados fuera de sus instalaciones.

ISO 27001:2022 Anexo A 8.1 advierte a las organizaciones sobre dos riesgos asociados con las conexiones inalámbricas que podrían provocar la pérdida de datos:

1. Las conexiones inalámbricas con capacidad limitada pueden provocar la avería de la copia de seguridad de los datos.
2. En ocasiones, los puntos finales de los usuarios pueden perder la conexión a la red inalámbrica y las copias de seguridad programadas pueden fallar. Para garantizar la seguridad y confiabilidad de los datos, se deben realizar copias de seguridad periódicas y se debe monitorear periódicamente la conexión a la red inalámbrica.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.1 reemplaza ISO 27001:2013 Anexo A 6.2.1 y Anexo A 12.2.8 en la norma revisada de 2022.

Diferencias estructurales

A diferencia de ISO 27001:2022, que tiene un control único que cubre los dispositivos terminales de los usuarios (8.1), ISO 27001:2013 presentaba dos controles separados: Política de dispositivos móviles (Anexo A, Control 6.2.1) y Equipo de usuario desatendido (Control 11.2.8). ).

Mientras que ISO 27001:2022 Anexo A Control 8.1 cubre todos los dispositivos terminales de usuario, como computadoras portátiles, tabletas y teléfonos móviles, la versión 2013 solo aborda los dispositivos móviles.

ISO 27001:2022 prescribe requisitos adicionales para la responsabilidad del usuario

Ambas versiones del acuerdo exigen un cierto nivel de responsabilidad personal por parte de los usuarios; sin embargo, la Versión 2022 tiene un requisito adicional:

• El personal debe tener especial precaución al utilizar dispositivos terminales que contengan datos confidenciales en espacios públicos que puedan ser inseguros.

ISO 27001:2022 es más completa en términos de BYOD

En comparación con 2013, el Anexo A 8.1 en 2022 introduce tres nuevos requisitos para el uso BYOD (Traiga su propio dispositivo) por parte del personal:

1. Es necesario establecer políticas relativas a los derechos de propiedad intelectual de las creaciones realizadas utilizando dispositivos terminales de usuario. Dichas políticas deben ser precisas y claras, asegurando que todas las partes relevantes reconozcan sus derechos y responsabilidades.
2. Considerando los límites legales para el acceso a los dispositivos privados del personal, ¿cómo se gestionará esto?
3. Permitir que el personal use sus propios dispositivos puede generar responsabilidad legal debido al uso de software de terceros en estos dispositivos. Las organizaciones deberían reflexionar sobre los acuerdos de licencia de software que mantienen con sus proveedores.

ISO 27001:2022 requiere una política temática más detallada

En comparación con ISO 27001:2013, las organizaciones ahora deben implementar una política específica para cada tema en los dispositivos de los usuarios.

ISO 27001:2022 Anexo A 8.1 es más completo y contiene tres nuevos elementos que se incluirán:

1. Se llevó a cabo un análisis del comportamiento del usuario final.
2. Las unidades USB son una excelente manera de transferir datos y los puertos USB físicos se pueden desactivar para evitar dichas transferencias.
3. La segregación de los activos de información de la organización se puede lograr aprovechando las capacidades tecnológicas. Esto permite separar los activos de otros activos almacenados en el dispositivo del usuario.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

Cómo ayuda ISMS.online

ISMS.online es el software de sistema de gestión ISO 27001:2022 de referencia. Facilita el cumplimiento del estándar y ayuda a las organizaciones a alinear sus políticas y procedimientos de seguridad.

Este plataforma basada en la nube ofrece una gama completa de herramientas para ayudar a las empresas a crear un SGSI (Sistema de gestión de seguridad de la información) que cumpla con la norma ISO 27001.

Contáctenos ahora para organizar una demostración.