¿Qué requiere el control A.3.22?
La información de identificación personal almacenada en los dispositivos de los usuarios, procesada por ellos o accesible a través de ellos, deberá estar protegida.
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda una de las áreas de riesgo más importantes en el procesamiento moderno de información de identificación personal (PII): los dispositivos de punto final. Las computadoras portátiles, los teléfonos inteligentes, las tabletas y otros dispositivos portátiles crean una superficie de ataque amplia y distribuida. Pueden perderse o ser robados, usarse en redes inseguras, compartirse con personas no autorizadas o verse comprometidos por malware. El apartado A.3.22 exige que las organizaciones implementen controles que protejan la PII independientemente de dónde y cómo se utilicen los dispositivos de punto final.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.22) proporciona la siguiente orientación:
- Evitar la vulneración de dispositivos móviles — La organización debe garantizar que el uso de dispositivos móviles no provoque una vulneración de la información personal identificable.
- Vea también A.3.24: Copia de seguridad de la información para requisitos relacionados
- Vea también A.3.25: Registro de actividad para requisitos relacionados
Si bien la guía de implementación es concisa, el alcance del control es amplio. Proteger la información de identificación personal (IIP) en los dispositivos finales requiere una combinación de controles técnicos (cifrado, borrado remoto, bloqueo de pantalla), controles de políticas (uso aceptable, normas BYOD) y medidas de concientización (capacitación del personal sobre el uso seguro de los dispositivos). El control se aplica a los tres escenarios: IIP almacenada localmente en el dispositivo, IIP que el dispositivo está procesando activamente e IIP accesible remotamente a través del dispositivo.
¿Cómo se relaciona esto con el RGPD?
El control A.3.22 se corresponde con lo siguiente: GDPR artículo:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida accidental.
Los dispositivos perdidos o robados son uno de los tipos de violación de seguridad más comúnmente reportados. GDPR. Implementar una protección robusta de los puntos finales es una forma práctica y demostrable de cumplir con el Artículo 5(1)(f).
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.8.2.8 (equipo de usuario no supervisado). La edición de 2025 consolida estos en A.3.22, ampliando el alcance de los dispositivos móviles específicamente a todos los dispositivos de punto final del usuario. Esto refleja la realidad de que la distinción entre puntos finales móviles y fijos se ha vuelto menos significativa. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.22, los auditores generalmente buscarán lo siguiente:
- Política de seguridad de punto final — Una política documentada que abarque el uso aceptable, los requisitos de cifrado, la configuración del bloqueo de pantalla, la gestión de parches y las capacidades de borrado remoto para todo tipo de dispositivos.
- Gestión de dispositivos móviles (MDM) — Evidencia de que se ha implementado una solución centralizada de MDM o de gestión de endpoints, con perfiles de configuración que aplican estándares de seguridad básicos.
- Cifrado de disco completo — Evidencia de que todos los dispositivos con información de identificación personal (PII) tienen habilitado el cifrado de disco completo (por ejemplo, BitLocker, FileVault o cifrado nativo del dispositivo).
- Capacidad de borrado remoto — Capacidad demostrada para borrar o bloquear de forma remota dispositivos perdidos o robados.
- Controles BYOD — Si se permite el uso de dispositivos personales en el trabajo, una política BYOD que especifique los requisitos de seguridad, la contenerización y el derecho de la organización a borrar los datos corporativos.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.19 Escritorio despejado y pantalla despejada | Los requisitos de bloqueo de pantalla en los puntos finales implementan reglas de pantalla limpia. |
| A.3.23 Autenticación segura | Los controles de autenticación protegen el acceso a la información de identificación personal a través de dispositivos de punto final. |
| A.3.26 Uso de criptografía | El cifrado del almacenamiento de los dispositivos finales es una medida de protección clave. |
| A.3.20 Medios de almacenamiento | Los soportes extraíbles utilizados con los dispositivos finales deben cumplir las reglas de gestión de soportes. |
| A.3.21 Eliminación segura o reutilización | Los dispositivos de punto final deben borrarse de forma segura antes de su eliminación o reasignación. |
¿A quién se aplica este control?
A.3.22 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de la información personal identificable (PII). Toda organización cuyo personal utilice dispositivos de punto final para almacenar, procesar o acceder a la PII debe implementar las medidas de protección adecuadas. Esto incluye a las organizaciones con trabajadores remotos, personal de campo, políticas de uso de dispositivos personales en el trabajo (BYOD) o cualquier situación en la que se pueda acceder a la PII desde fuera del perímetro de la red corporativa.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de dispositivos de punto final?
SGSI.online Proporciona herramientas prácticas para gestionar la seguridad de los dispositivos finales:
- Registro del dispositivo — Mantener un inventario centralizado de todos los dispositivos de punto final con acceso a información de identificación personal (PII), vinculados a los propietarios, las configuraciones de seguridad y el estado de cumplimiento.
- Gestión de políticas — Publicar y distribuir políticas de seguridad de endpoints y BYOD con seguimiento de confirmación y control de versiones.
- Evaluaciones de riesgo — Ejecuta evaluaciones de riesgo específicas para amenazas relacionadas con los puntos finales, con escenarios de riesgo predefinidos para dispositivos perdidos, redes inseguras y BYOD (Trae tu propio dispositivo).
- Administracion de incidentes — Registre y gestione los incidentes de pérdida o robo de dispositivos con flujos de trabajo integrados para la evaluación y notificación de brechas de seguridad.
- Paneles de cumplimiento — Supervise el cumplimiento de la seguridad de los endpoints en toda su organización con visibilidad en tiempo real del cumplimiento de las políticas y las acciones pendientes.
Preguntas Frecuentes
¿Se aplica este control a los dispositivos personales utilizados para el trabajo?
Sí. Si se utilizan dispositivos personales (BYOD) para almacenar, procesar o acceder a información de identificación personal (PII), estos se encuentran dentro del ámbito de aplicación del apartado A.3.22. Las organizaciones deben implementar una política BYOD que especifique los requisitos mínimos de seguridad, como el cifrado, la complejidad de las contraseñas, las actualizaciones automáticas y el derecho a borrar datos corporativos de forma remota. Las soluciones de contenerización pueden ayudar a separar los datos personales de los corporativos en un mismo dispositivo.
¿Qué tipos de dispositivos se consideran dispositivos de punto final?
Los dispositivos de punto final incluyen cualquier dispositivo que una persona utilice para acceder, procesar o almacenar información de identificación personal (PII): computadoras portátiles, computadoras de escritorio, teléfonos inteligentes, tabletas, clientes ligeros y dispositivos portátiles. La edición de 2025 utiliza deliberadamente el término más amplio "dispositivos de punto final del usuario" en lugar de "dispositivos móviles" para abarcar todos los tipos de dispositivos, incluidas las estaciones de trabajo fijas que pueden estar en ubicaciones compartidas o no seguras.
¿Cómo deben gestionar las organizaciones los dispositivos perdidos o robados?
Las organizaciones deben contar con un procedimiento documentado de respuesta ante incidentes relacionados con dispositivos perdidos o robados. Este procedimiento debe incluir la capacidad inmediata de bloqueo y borrado remoto, la evaluación del riesgo de exposición de la información personal identificable (considerando el estado del cifrado), la notificación al equipo de protección de datos y, cuando sea necesario, la notificación a la autoridad de control conforme al artículo 33 del RGPD. El inventario de dispositivos debe actualizarse para reflejar la pérdida y las credenciales de acceso utilizadas en el dispositivo deben revocarse.
Registre este control en su Declaración de aplicabilidad con su enfoque de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
