ISO 27701 – Cláusula 6.3.2 – Dispositivos móviles y teletrabajo

La cláusula 27701 de la norma ISO 6.3.2 aborda las políticas para la gestión de dispositivos móviles y trabajo remoto, enfatizando la necesidad de que las organizaciones implementen controles específicos para proteger los dispositivos terminales y garantizar la protección de datos durante las operaciones remotas.

Solicite una demo
Autor
Max Edwards
Actualizado 25 de febrero de 2025
LinkedIn Twitter Twitter

Cumplimiento de la norma ISO 27701: gestión de riesgos en dispositivos móviles y trabajo remoto

Los dispositivos móviles y el trabajo remoto se están convirtiendo rápidamente en parte integral del lugar de trabajo moderno.

La necesidad de la organización de garantizar que todo tipo de dispositivos estén cubiertos por una política general de dispositivos de usuario final que tenga en cuenta la naturaleza del dispositivo, cómo se utilizará junto con la PII, cómo lo gestiona la organización y cuáles son las obligaciones del usuario final. están mientras usa el dispositivo.

ISO pide a las organizaciones que clasifiquen los dispositivos terminales de dos maneras:

  1. Dispositivos que se utilizarán dentro de los límites de la red y las instalaciones físicas de la organización.
  2. Dispositivos que se utilizan tanto dentro como fuera de la LAN y de las instalaciones físicas de la organización.

Qué se cubre en la cláusula 27701 de la norma ISO 6.3.2

La cláusula 6.3.2 cubre dos aspectos clave de lo que antes se conocía como "teletrabajo", pero que ahora se conoce más comúnmente como "trabajo a distancia": la gestión de dispositivos y los principios generalizados del trabajo a distancia.

La cláusula 6.3.2 los divide en dos subcláusulas, que contienen orientación de dos subcláusulas vinculadas que tratan con la seguridad de los datos organizacionales en ISO 27002:

  1. ISO 27701 6.3.2.1 – Dispositivos móviles y teletrabajo (Referencias ISO 27002 Control 8.1)
  2. ISO 27701 6.3.2.2 – Teletrabajo (Referencias ISO 27002 Control 6.7)

La subcláusula 6.3.2.1 contiene más orientación sobre las áreas aplicables de la legislación GDPR.

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

Ninguna de las subcláusulas contiene orientación adicional para establecer o mantener un PIMS, en el contexto del trabajo remoto o la gestión de dispositivos de usuario.



Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 6.3.2.1 – Políticas de dispositivos móviles

Referencias ISO 27002 Control 8.1

Las organizaciones deben implementar políticas temáticas específicas que aborden diferentes categorías de dispositivos terminales y versiones de software de dispositivos móviles, y cómo se deben adaptar los controles de seguridad para mejorar la seguridad de los datos.

La política, los procedimientos y las medidas de seguridad de apoyo de una organización sobre dispositivos móviles deben tener en cuenta:

  1. Las diferentes categorías de datos que el dispositivo puede tanto procesar como almacenar.
  2. Cómo se registran e identifican los dispositivos en la red.
  3. Cómo se van a proteger físicamente los dispositivos.
  4. Cualquier limitación en aplicaciones e instalaciones de software.
  5. Gestión remota, incluidas actualizaciones y parches.
  6. Controles de acceso de usuarios, incluido RBAC si es necesario.
  7. Cifrado
  8. Contramedidas antimalware (administradas o no administradas).
  9. BUDR.
  10. Restricciones de navegación.
  11. Análisis de usuarios (ver Control ISO 27002 8.16).
  12. La instalación, uso y gestión remota de dispositivos de almacenamiento extraíbles o dispositivos periféricos extraíbles.
  13. Cómo segregar datos en el dispositivo, de modo que la PII se separe de los datos estándar del dispositivo (incluidos los datos personales del usuario). Esto incluye considerar si es apropiado o no almacenar cualquier tipo de datos organizacionales en el dispositivo físico, en lugar de utilizar el dispositivo para proporcionar acceso en línea a ellos.
  14. Qué sucede cuando un dispositivo se pierde o es robado, es decir, abordar cualquier requisito legal, reglamentario o contractual y tratar con las aseguradoras de la organización.

Responsabilidad del usuario individual

Todos los miembros de la organización que utilizan el acceso remoto deben conocer explícitamente cualquier política y procedimiento de dispositivos móviles que se les aplique en el contexto de la gestión segura de dispositivos terminales.

Se debe indicar a los usuarios que:

  1. Cierre cualquier sesión de trabajo activa cuando ya no esté en uso.
  2. Implementar controles de protección física y digital, según lo exige la política.
  3. Tenga en cuenta su entorno físico (y los riesgos de seguridad inherentes que contiene) al acceder a datos seguros utilizando el dispositivo.

Traer su propio dispositivo (BYOD)

Las organizaciones que permiten que el personal utilice dispositivos de propiedad personal también deben considerar los siguientes controles de seguridad:

  • Instalar software en el dispositivo (incluidos los teléfonos móviles) que ayude a separar los datos comerciales y personales.
  • Hacer cumplir una política BYOD que incluya:
    • Reconocimiento de propiedad organizacional de la PII.
    • Medidas de protección física y digital (ver arriba).
    • Eliminación remota de datos.
    • Cualquier medida que garantice la alineación con la legislación de PII y la orientación regulatoria.
  • Derechos de propiedad intelectual, relacionados con la propiedad de la empresa sobre cualquier cosa que se haya producido en un dispositivo personal.
  • Acceso organizacional al dispositivo, ya sea con fines de protección de la privacidad o para cumplir con una investigación interna o externa.
  • CLUF y licencias de software que pueden verse afectados por el uso de software comercial en un dispositivo de propiedad privada.

Configuraciones inalámbricas

Al redactar procedimientos relacionados con la conectividad inalámbrica en dispositivos terminales, las organizaciones deberían:

  • Considere detenidamente cómo se debe permitir que dichos dispositivos se conecten a redes inalámbricas para acceder a Internet, con el fin de salvaguardar la PII.
  • Asegúrese de que las conexiones inalámbricas tengan capacidad suficiente para facilitar las copias de seguridad o cualquier otra función específica del tema.

Controles ISO 27002 relevantes

  • Control ISO 27002 8.9 – Gestión de la configuración
  • Control ISO 27002 8.16 – Actividades de seguimiento

Artículos aplicables del RGPD

  • Artículo 5 – (1)(f)


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 6.3.2.2 – Teletrabajo

Referencias ISO 27002 Control 6.7

Al igual que con la gestión de dispositivos de usuario, las políticas de trabajo remoto deben ser temáticas específicas y relacionadas con los diferentes roles que se desempeñan dentro de la organización.

Al formular políticas de trabajo remoto, las organizaciones deberían considerar:

  • Cualquier riesgo potencial afecta la seguridad física y la seguridad de la información de los dispositivos en lugares de trabajo remotos específicos, incluido el acceso de personal no autorizado.
  • Controles que protegen los datos comerciales, incluida la seguridad del transporte, políticas de escritorio claro, impresión segura, plataformas antimalware, firewalls, etc.
  • Una lista categórica de lugares de trabajo remoto aceptados, incluidas áreas públicas como hoteles, salas de reuniones públicas y sitios de teletrabajo.
  • Cómo se comunicará el dispositivo con la red de la organización (parámetros VPN, etc.), en relación con la categoría de datos que se transfieren y la naturaleza de la operación de PII de la organización.
  • Entornos de escritorio virtuales.
  • Protocolos de seguridad inalámbricos y los riesgos de seguridad subyacentes que prevalecen en las redes domésticas o públicas.
  • Gestión remota de dispositivos (desactivación remota, instalaciones, borrado de datos, etc.).
  • Métodos de autenticación, más específicamente, el uso de MFA.

Para mejorar la protección de la privacidad y salvaguardar la PII, las políticas generales y específicas de trabajo remoto deben incluir:

  1. El suministro de equipos adecuados (equipos TIC y medidas de almacenamiento físico), cuando dichos equipos no existan en el entorno de trabajo remoto.
  2. Directrices claras sobre el tipo de trabajo que se permite realizar y a qué sistemas, datos y aplicaciones se puede acceder de forma remota.
  3. Programas de formación que regulan el trabajo en remoto, tanto en los dispositivos utilizados como en lo que se espera de los trabajadores en remoto desde una perspectiva práctica y contractual.
  4. Medidas que ofrecen gestión remota granular de dispositivos terminales, incluida la funcionalidad de bloqueo de pantalla, seguimiento por GPS y auditoría remota.
  5. Medidas de seguridad física que rigen el uso de la organización y el kit de propiedad del usuario fuera del sitio, incluido el acceso de terceros.
  6. Póliza de seguros.
  7. Un plan BUDR específico para el trabajo remoto, que incluye controles de continuidad del negocio.
  8. Procedimientos que describen cómo se restringe o revoca el acceso de usuarios remotos según sea necesario.

Controles de soporte de ISO 27002 y GDPR

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Requisito ISO 27002Artículos relacionados con el RGPD
6.3.2.1Política de dispositivos móviles
8.1 – Dispositivos terminales de usuario para ISO 27002
 Artículo (5)
6.3.2.2Teletrabajo
6.7 – Trabajo remoto para ISO 27002
Nona

Cómo ayuda ISMS.online

En ISMS.online podemos incorporar la gestión de seguridad de la información de la cadena de suministro a su SGSI.

También se pueden utilizar métricas de rendimiento rápidas y prácticas para monitorear el progreso de sus proveedores y otras asociaciones con terceros.

Utilice ISMS.online Clusters para reunir toda la cadena de suministro en una sola ubicación para obtener claridad, conocimiento y control.

Obtenga más información y obtenga una demostración práctica de reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!