ISO 27002:2022, Control 6.7 – Trabajo remoto

Tabla de atributos

Los atributos se utilizan para categorizar los controles. Puede hacer coincidir inmediatamente su opción de control con frases y especificaciones ampliamente utilizadas en la industria mediante el uso de atributos.

Los atributos para el control 6.7 se ven a continuación.

¿Cuál es el propósito del Control 6.7?

El propósito del Control 6.7 es garantizar que el personal que trabaja de forma remota tenga controles de acceso adecuados para proteger la confidencialidad, integridad y disponibilidad de información, procesos y sistemas confidenciales o de propiedad exclusiva frente al acceso o divulgación no autorizados por parte de personas no autorizadas.

Para garantizar la seguridad de la información cuando el personal trabaja de forma remota, las organizaciones deben emitir una política temática específica sobre el trabajo remoto que defina las condiciones y restricciones relevantes para la seguridad de la información. La política debe distribuirse a todo el personal e incluir orientación sobre cómo pueden utilizar las tecnologías de acceso remoto de forma segura.

Una política de tema específico como esta probablemente cubrirá:

• Las circunstancias en las que se permite el trabajo a distancia.
• Los procesos utilizados para garantizar que los trabajadores remotos estén autorizados a acceder a información confidencial.
• Los procedimientos para garantizar que la información esté protegida cuando se transmite entre diferentes ubicaciones físicas.

Además de estos requisitos básicos, también es importante tener un procedimiento claramente definido para informar incidentes, incluidos los datos de contacto adecuados. Esto puede ayudar a reducir el riesgo de que se produzcan infracciones u otros tipos de incidentes de seguridad en primer lugar.

Es posible que la política también deba abordar cuestiones como el cifrado, los cortafuegos y las actualizaciones de software antivirus, así como la capacitación de los empleados sobre cómo utilizar la conectividad remota de forma segura.

Qué implica y cómo cumplir los requisitos

Para cumplir con los requisitos de control 6.7, las organizaciones que permiten actividades de trabajo remoto deben emitir una política temática específica sobre trabajo remoto que defina las condiciones y restricciones relevantes.

La política debe revisarse periódicamente, especialmente cuando haya algún cambio en la tecnología o la legislación.

La política debe comunicarse a todos los empleados, contratistas y otras partes involucradas en actividades de trabajo remoto.

La política debe documentarse y ponerse a disposición de cualquier tercero relevante, incluidos reguladores y auditores.

Las organizaciones también deben asegurarse de contar con medidas adecuadas para proteger la información sensible o confidencial transmitida o almacenada electrónicamente durante las actividades de trabajo remoto.

De acuerdo con lo establecido en el control 6.7, se deben considerar las siguientes cuestiones:

• La seguridad física existente o propuesta del sitio de trabajo remoto, teniendo en cuenta la seguridad física del lugar y el entorno local, incluidas las diferentes jurisdicciones donde se encuentra el personal.
• Reglas y mecanismos de seguridad para el entorno físico remoto, como archivadores con cerradura, transporte seguro entre ubicaciones y reglas para acceso remoto, escritorio despejado, impresión y eliminación de información y otros activos asociados, e informes de eventos de seguridad de la información.
• Los entornos físicos de trabajo remoto esperados.
• Los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas de la organización, la sensibilidad de la información a la que se accede y se transmite a través del enlace de comunicación y la sensibilidad de los sistemas y aplicaciones.
• El uso de acceso remoto, como el acceso a escritorio virtual, que admite el procesamiento y almacenamiento de información en equipos de propiedad privada.
• La amenaza de acceso no autorizado a información o recursos de otras personas en el sitio de trabajo remoto (por ejemplo, familiares y amigos).
• La amenaza de acceso no autorizado a información o recursos de otras personas en lugares públicos.
• El uso de redes domésticas y redes públicas, y requisitos o restricciones en la configuración de servicios de redes inalámbricas.
• Uso de medidas de seguridad, como firewalls y protección contra malware.
• Mecanismos seguros para implementar e inicializar sistemas de forma remota.
• Mecanismos seguros de autenticación y habilitación de privilegios de acceso teniendo en cuenta la vulnerabilidad de los mecanismos de autenticación de un solo factor donde se permite el acceso remoto a la red de la organización.

Las directrices y medidas a considerar deberían incluir:

1. La provisión de equipos y mobiliario de almacenamiento adecuados para las actividades de trabajo a distancia, donde no se permite el uso de equipos de propiedad privada que no estén bajo el control de la organización.
2. Una definición del trabajo permitido, la clasificación de la información que se puede conservar y los sistemas y servicios internos a los que el trabajador remoto está autorizado a acceder.
3. La oferta de formación para quienes trabajan a distancia y quienes prestan apoyo. Esto debería incluir cómo realizar negocios de manera segura mientras se trabaja de forma remota.
4. La provisión de equipos de comunicación adecuados, incluidos métodos para asegurar el acceso remoto, como requisitos sobre bloqueos de pantalla de dispositivos y temporizadores de inactividad.
5. La habilitación del seguimiento de la ubicación del dispositivo.
6. Instalación de capacidades de borrado remoto.
7. Seguridad física.
8. Normas y orientaciones sobre el acceso de familias y visitantes a equipos e información.
9. La prestación de soporte y mantenimiento de hardware y software.
10. La provisión de seguros.
11. Los procedimientos de respaldo y continuidad del negocio.
12. Auditoría y seguimiento de seguridad.
13. Revocación de derechos de autoridad y acceso y devolución de equipos cuando cesen las actividades de trabajo a distancia.

Cambios y diferencias con respecto a ISO 27002:2013

El control 6.7 en ISO 27002:2022 es una versión modificada del control 6.2.2 en ISO 27002:2013 y no es un control nuevo.

Si bien estos dos controles tienen muchas características, difieren algo en nomenclatura y redacción. El nombre del control, por ejemplo, no es el mismo. El control 6.2.2 de la norma ISO 27002:2013 se denomina teletrabajo. Control 6.7 se refiere a esto como trabajo remoto. Al mismo tiempo, en la nueva versión de la norma, el teletrabajo fue sustituido por el trabajo a distancia.

En el control 6.7, ISO 27002:2022, la norma define qué es el trabajo remoto y los tipos de trabajo que pueden calificar como trabajo remoto. Esto incluye el teletrabajo, que es el nombre de control original en la versión 2013 del estándar.

Las pautas de implementación son algo similares aunque el lenguaje y los términos son diferentes. La versión 2022 utilizó mucho lenguaje fácil de usar para garantizar que los usuarios del estándar puedan entender lo que están haciendo.

Dicho esto, se agregaron algunos puntos en el control 6.7 y se eliminaron algunos del control 6.2.2.

Agregado a Control 6.7 Trabajo remoto

• reglas y mecanismos de seguridad para el entorno físico remoto, como archivadores con cerradura, transporte seguro entre ubicaciones y reglas para acceso remoto, escritorio despejado, impresión y eliminación de información y otros activos asociados, e informes de eventos de seguridad de la información.
• los entornos físicos de trabajo remoto esperados.
• la amenaza de acceso no autorizado a información o recursos de otras personas en lugares públicos.
• Mecanismos seguros para implementar e inicializar sistemas de forma remota.
• Mecanismos seguros de autenticación y habilitación de privilegios de acceso teniendo en cuenta la vulnerabilidad de los mecanismos de autenticación de un solo factor donde se permite el acceso remoto a la red de la organización.

Eliminado de Control 6.2.2 Teletrabajo

• El uso de redes domésticas y requisitos o restricciones en la configuración de servicios de redes inalámbricas.
• Políticas y procedimientos para prevenir disputas relacionadas con derechos de propiedad intelectual desarrollados en equipos de propiedad privada.
• Acceso a equipos de propiedad privada (para verificar la seguridad de la máquina o durante una investigación), que puede estar impedido por la legislación.
• Acuerdos de licencia de software que permiten a las organizaciones ser responsables de la concesión de licencias de software de cliente en estaciones de trabajo de propiedad privada de empleados o usuarios externos.

Además, la versión 27002 de la norma ISO 2022 proporciona declaraciones de propósito y tablas de atributos para cada control, que ayudan a los usuarios a comprender e implementar mejor los controles.

La versión 2013 no tiene estas dos partes.

¿Quién está a cargo de este proceso?

La responsabilidad principal de crear una política de seguridad de la información para los trabajadores remotos recae en el responsable de seguridad de la información de la organización. Sin embargo, otras partes interesadas también deberían participar en el proceso.

Esto incluye a los gerentes de TI, que son responsables de implementar y mantener la política, así como a los gerentes de recursos humanos, que son responsables de asegurarse de que los empleados la comprendan y la cumplan.

Si tiene un programa de gestión de proveedores, la respuesta dependerá de quién es responsable de gestionar los contratistas y proveedores en general. En la mayoría de los casos, esta persona también sería responsable de crear una política de seguridad de la información para los trabajadores remotos de ese departamento.

¿Qué significan estos cambios para usted?

La ISO 27002 no cambió significativamente, por lo que no necesita hacer mucho excepto verificar que sus procesos de seguridad de la información estén en línea con la actualización.

El principal cambio fue modificar algunos de los controles y aclarar algunos de los requisitos. El efecto principal con respecto al control 6.7 es que si subcontrata cualquiera de sus operaciones a un tercero o tiene personas trabajando de forma remota, deberá asegurarse de que tengan implementado un nivel adecuado de controles de seguridad.

Si ya tiene una certificación ISO 27001, su proceso actual para gestionar la seguridad de la información cumplirá con los nuevos requisitos.

Esto significa que si desea renovar su certificación ISO 27001 actual, no necesita hacer nada en absoluto. Sólo debe asegurarse de que sus procesos sigan alineados con el nuevo estándar.

Sin embargo, si está empezando desde cero, deberá pensar un poco en cómo su empresa puede estar preparada para ataques cibernéticos y otras amenazas a sus activos de información.

Lo principal es que es importante tratar los riesgos cibernéticos con la suficiente seriedad para que se gestionen como parte de su estrategia comercial general en lugar de ser tratados como un tema separado únicamente por los departamentos de TI o de seguridad.

Cómo ayuda ISMS.Online

La plataforma ISMS.Online ayuda con todos los aspectos de la implementación de ISO 27002, desde la gestión de actividades de evaluación de riesgos hasta el desarrollo de políticas, procedimientos y directrices para cumplir con los requisitos de la norma.

Proporciona una manera de documentar sus hallazgos y comunicarlos con los miembros de su equipo en línea. ISMS.Online también le permite crear y guardar listas de verificación para todas las tareas involucradas en la implementación de ISO 27002, para que pueda seguir fácilmente el progreso del programa de seguridad de su organización.

Con su conjunto de herramientas automatizadas, ISMS.Online facilita que las organizaciones demuestren el cumplimiento de la norma ISO 27002.

Contáctenos hoy para programa una demostración.