El Control 6.7, Trabajo remoto es un control en la norma ISO 27002:2022 revisada. Recomienda que las organizaciones tengan una política sobre trabajo remoto, así como un sistema de gestión de seguridad de la información que incluya procedimientos para asegurar el acceso remoto a los sistemas y redes de información.
El trabajo remoto se ha vuelto más común a medida que la tecnología se ha desarrollado y ahora es posible que los empleados trabajen desde casa sin perjudicar la productividad o la eficiencia. Sin embargo, también puede generar algunas preocupaciones sobre la seguridad de los datos.
Si es propietario de una empresa, querrá saber cómo proteger su propiedad intelectual contra los ciberdelincuentes y asegurarse de que sus datos estén a salvo de los piratas informáticos.
A continuación se presentan algunas implicaciones para la seguridad de la información del trabajo remoto:
El trabajo remoto puede ser ventajoso ya que permite un acceso más fácil a información y sistemas confidenciales. Sin embargo, el trabajo remoto tiene varias implicaciones de seguridad.
El trabajo remoto, si no se gestiona adecuadamente, puede ser susceptible a riesgos de seguridad como piratería informática, ataques de malware, acceso no autorizado y otros. Esto es especialmente cierto cuando los empleados no se encuentran físicamente en un entorno seguro.
El trabajo remoto también puede afectar la seguridad física de una empresa. Esto se debe a que puede significar que los empleados ya no se encuentran físicamente en una oficina o edificio y, por lo tanto, es menos probable que vean u escuchen actividades sospechosas.
El trabajo remoto también puede plantear algunos riesgos con respecto a la confidencialidad. Por ejemplo, los empleados pueden acceder a información confidencial de forma remota y acceder a ella sin el consentimiento de la empresa.
Además, los empleados pueden acceder fácilmente a información confidencial de la empresa en la Internet pública. De hecho, incluso existen sitios web donde los empleados pueden cargar información confidencial para que todos la vean.
El trabajo remoto también puede afectar la privacidad de una organización. Por ejemplo, si los empleados trabajan desde casa, es más probable que dejen sus pertenencias personales tiradas por ahí.
Estas pertenencias pueden contener información sensible que podría comprometer la privacidad de una empresa.
El trabajo remoto también puede suponer un riesgo para los datos de una empresa. Por ejemplo, los empleados pueden acceder a los datos de la empresa de forma remota, que pueden almacenarse en diversas ubicaciones.
Esto puede incluir datos en computadoras, servidores y dispositivos móviles. Si el empleado sale de la oficina y toma el dispositivo, puede resultar más difícil recuperar los datos.
Además, el empleado puede cometer un error o hacer algo malicioso con el dispositivo, lo que puede comprometer los datos.
Los atributos se utilizan para categorizar los controles. Puede hacer coincidir inmediatamente su opción de control con frases y especificaciones ampliamente utilizadas en la industria mediante el uso de atributos.
Los atributos para el control 6.7 se ven a continuación.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de activos #Protección de la información #Seguridad física #Seguridad del sistema y de la red | #Proteccion |
El propósito del Control 6.7 es garantizar que el personal que trabaja de forma remota tenga controles de acceso adecuados para proteger la confidencialidad, integridad y disponibilidad de información, procesos y sistemas confidenciales o de propiedad exclusiva frente al acceso o divulgación no autorizados por parte de personas no autorizadas.
Para garantizar la seguridad de la información cuando el personal trabaja de forma remota, las organizaciones deben emitir una política temática específica sobre el trabajo remoto que defina las condiciones y restricciones relevantes para la seguridad de la información. La política debe distribuirse a todo el personal e incluir orientación sobre cómo pueden utilizar las tecnologías de acceso remoto de forma segura.
Una política de tema específico como esta probablemente cubrirá:
Además de estos requisitos básicos, también es importante tener un procedimiento claramente definido para informar incidentes, incluidos los datos de contacto adecuados. Esto puede ayudar a reducir el riesgo de que se produzcan infracciones u otros tipos de incidentes de seguridad en primer lugar.
Es posible que la política también deba abordar cuestiones como el cifrado, los cortafuegos y las actualizaciones de software antivirus, así como la capacitación de los empleados sobre cómo utilizar la conectividad remota de forma segura.
Para cumplir con los requisitos de control 6.7, las organizaciones que permiten actividades de trabajo remoto deben emitir una política temática específica sobre trabajo remoto que defina las condiciones y restricciones relevantes.
La política debe revisarse periódicamente, especialmente cuando haya algún cambio en la tecnología o la legislación.
La política debe comunicarse a todos los empleados, contratistas y otras partes involucradas en actividades de trabajo remoto.
La política debe documentarse y ponerse a disposición de cualquier tercero relevante, incluidos reguladores y auditores.
Las organizaciones también deben asegurarse de contar con medidas adecuadas para proteger la información sensible o confidencial transmitida o almacenada electrónicamente durante las actividades de trabajo remoto.
De acuerdo con lo establecido en el control 6.7, se deben considerar las siguientes cuestiones:
Las directrices y medidas a considerar deberían incluir:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
El control 6.7 en ISO 27002:2022 es una versión modificada del control 6.2.2 en ISO 27002:2013 y no es un control nuevo.
Si bien estos dos controles tienen muchas características, difieren algo en nomenclatura y redacción. El nombre del control, por ejemplo, no es el mismo. El control 6.2.2 de la norma ISO 27002:2013 se denomina teletrabajo. Control 6.7 se refiere a esto como trabajo remoto. Al mismo tiempo, en la nueva versión de la norma, el teletrabajo fue sustituido por el trabajo a distancia.
En el control 6.7, ISO 27002:2022, la norma define qué es el trabajo remoto y los tipos de trabajo que pueden calificar como trabajo remoto. Esto incluye el teletrabajo, que es el nombre de control original en la versión 2013 del estándar.
Las pautas de implementación son algo similares aunque el lenguaje y los términos son diferentes. La versión 2022 utilizó mucho lenguaje fácil de usar para garantizar que los usuarios del estándar puedan entender lo que están haciendo.
Dicho esto, se agregaron algunos puntos en el control 6.7 y se eliminaron algunos del control 6.2.2.
Además, la versión 27002 de la norma ISO 2022 proporciona declaraciones de propósito y tablas de atributos para cada control, que ayudan a los usuarios a comprender e implementar mejor los controles.
La versión 2013 no tiene estas dos partes.
La responsabilidad principal de crear una política de seguridad de la información para los trabajadores remotos recae en el responsable de seguridad de la información de la organización. Sin embargo, otras partes interesadas también deberían participar en el proceso.
Esto incluye a los gerentes de TI, que son responsables de implementar y mantener la política, así como a los gerentes de recursos humanos, que son responsables de asegurarse de que los empleados la comprendan y la cumplan.
Si tiene un programa de gestión de proveedores, la respuesta dependerá de quién es responsable de gestionar los contratistas y proveedores en general. En la mayoría de los casos, esta persona también sería responsable de crear una política de seguridad de la información para los trabajadores remotos de ese departamento.
La ISO 27002 no cambió significativamente, por lo que no necesita hacer mucho excepto verificar que sus procesos de seguridad de la información estén en línea con la actualización.
El principal cambio fue modificar algunos de los controles y aclarar algunos de los requisitos. El efecto principal con respecto al control 6.7 es que si subcontrata cualquiera de sus operaciones a un tercero o tiene personas trabajando de forma remota, deberá asegurarse de que tengan implementado un nivel adecuado de controles de seguridad.
Si ya tiene una certificación ISO 27001, su proceso actual para gestionar la seguridad de la información cumplirá con los nuevos requisitos.
Esto significa que si desea renovar su certificación ISO 27001 actual, no necesita hacer nada en absoluto. Sólo debe asegurarse de que sus procesos sigan alineados con el nuevo estándar.
Sin embargo, si está empezando desde cero, deberá pensar un poco en cómo su empresa puede estar preparada para ataques cibernéticos y otras amenazas a sus activos de información.
Lo principal es que es importante tratar los riesgos cibernéticos con la suficiente seriedad para que se gestionen como parte de su estrategia comercial general en lugar de ser tratados como un tema separado únicamente por los departamentos de TI o de seguridad.
La plataforma ISMS.Online ayuda con todos los aspectos de la implementación de ISO 27002, desde la gestión de actividades de evaluación de riesgos hasta el desarrollo de políticas, procedimientos y directrices para cumplir con los requisitos de la norma.
Proporciona una manera de documentar sus hallazgos y comunicarlos con los miembros de su equipo en línea. ISMS.Online también le permite crear y guardar listas de verificación para todas las tareas involucradas en la implementación de ISO 27002, para que pueda seguir fácilmente el progreso del programa de seguridad de su organización.
Con su conjunto de herramientas automatizadas, ISMS.Online facilita que las organizaciones demuestren el cumplimiento de la norma ISO 27002.
Contáctenos hoy para programa una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |