Cláusula 27701 de la norma ISO 6.8.2: Protección de equipos para el cumplimiento de la privacidad
Además de los controles "lógicos" (restricciones de acceso basadas en software y funciones administrativas basadas en servidores), ISO también pone mucho énfasis en el papel que debe desempeñar la seguridad de los equipos en la protección de la PII y los activos relacionados con la privacidad.
Las organizaciones deben considerar una amplia gama de factores, desde protocolos BYOD hasta la ubicación de los activos de privacidad, cómo se comportan los usuarios al acceder a ellos, cómo se retira el kit y políticas claras de escritorio/pantalla.
Qué se cubre en la cláusula 27701 de la norma ISO 6.8.2
La cláusula 27701 de ISO 6.8.2 es una cláusula de gran alcance que cubre muchos aspectos diferentes del control y la seguridad de los equipos.
Hay 9 subcláusulas a considerar, cada una de las cuales contiene notas orientativas de un cláusula adjunta en ISO 27002, aplicado en el contexto de la protección de la privacidad:
- ISO 27701 6.8.2.1 – Emplazamiento y protección de equipos (Referencias ISO 27002 control 7.8)
- ISO 27701 6.8.2.2 – Utilidades de soporte (Referencias ISO 27002 control 7.11)
- ISO 27701 6.8.2.3 – Seguridad del cableado (Referencias ISO 27002 control 7.12)
- ISO 27701 6.8.2.4 – Mantenimiento de equipos (Referencias ISO 27002 control 7.13)
- ISO 27701 6.8.2.5 – Remoción de activos (Referencias ISO 27002 control 7.10)
- ISO 27701 6.8.2.6 – Seguridad de equipos y activos fuera de las instalaciones (Referencias ISO 27002 control 7.9)
- ISO 27701 6.8.2.7 – Eliminación segura o reutilización de equipos (Referencias ISO 27002 control 7.14)
- ISO 27701 6.8.2.8 – Equipo de usuario desatendido (Referencias ISO 27002 control 8.1)
- ISO 27701 6.8.2.9 – Política de escritorio despejado y pantalla despejada (Referencias ISO 27002 control 7.7)
ISO no ofrece más orientación sobre la implementación o el mantenimiento de un PIMS, y solo dos subcláusulas (6.8.2.9 y 6.8.2.7) contienen información que debe considerarse junto con la legislación GDPR del Reino Unido.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.8.2.1 – Ubicación y protección del equipo
Referencias ISO 27002 Control 7.8
Para minimizar el riesgo para la PII y los activos relacionados con la privacidad, que pueden estar expuestos a pérdidas o acceso no autorizado debido a daños, las organizaciones deben:
- Coloque los equipos de manera adecuada, incluidos los activos e instalaciones de procesamiento de privacidad, para evitar la necesidad de que personal no autorizado acceda a áreas restringidas.
- Minimizar el riesgo de visualización accidental o deliberada de material restringido (especialmente PII).
- Reducir el riesgo de amenazas ambientales o físicas (por ejemplo, robo, incendio, inundación).
- Establezca nuestras reglas claras que se ocupen de comer, fumar o beber cerca de activos e información relacionados con la privacidad.
- Asegúrese de que los activos relacionados con la privacidad se mantengan en ambientes con niveles adecuados de calor y humedad.
- Implementar controles de protección contra rayos.
- Implementar medidas ad hoc para los activos relacionados con la privacidad mantenidos en áreas de producción (protectores contra el polvo, viviendas seguras, blindaje electromagnético, etc.).
- Separar las instalaciones de procesamiento de privacidad organizativas y no organizativas.
ISO 27701 Cláusula 6.8.2.2 – Servicios públicos de soporte
Referencias ISO 27002 Control 7.11
Es importante proteger las instalaciones de procesamiento de PII de cualquier interrupción o incidente que surja de lo que ISO considera "servicios públicos de apoyo" (electricidad, gas, agua, alcantarillado, etc.).
Para minimizar el riesgo de PII, las organizaciones deberían:
- Siga siempre las recomendaciones de los proveedores de servicios públicos al configurar el equipo en el sitio.
- Llevar a cabo auditorías periódicas de los servicios públicos para garantizar que satisfagan las necesidades operativas y financieras de la organización y se adapten a la provisión de todos los demás servicios públicos.
- Pruebe periódicamente los servicios públicos para garantizar la continuidad del negocio y plantee cualquier inquietud directamente al proveedor de servicios públicos.
- Asegúrese de que las empresas de servicios públicos se beneficien de múltiples fuentes y 'enrutamientos diversos'.
- Mantener un sistema que separe las empresas de servicios públicos en su propia red interna de las instalaciones de procesamiento de PII, donde dichas instalaciones requieren acceso LAN, y solo brindarles acceso WAN si es explícitamente necesario.
- Proporcionar servicios públicos de emergencia, como iluminación de emergencia, equipo telefónico con un circuito dedicado que sea redundante del sistema de comunicaciones principal, números de contacto de emergencia y salidas de emergencia de fácil acceso.
- Explore la posibilidad de recibir varios enrutadores por proveedor de servicios públicos.
ISO 27701 Cláusula 6.8.2.3 – Seguridad del cableado
Referencias ISO 27002 Control 7.12
La PII se transmite en gran medida a través de cables. Como tal, las organizaciones deben implementar controles de seguridad de cables que protejan la información relacionada con la privacidad contra la interceptación y/o pérdida.
La seguridad del cableado es un campo altamente especializado y las organizaciones deben buscar asesoramiento de expertos cuando corresponda. Dicho esto, existen algunos principios rectores básicos a seguir.
Orientación general
Las organizaciones deberían:
- Colocar cableado de energía y comunicaciones bajo tierra.
- Asegúrese de que el cableado aéreo esté protegido mediante medidas tales como canales adecuados, alojamiento en el piso y postes de servicios públicos.
- Separe los cables de alimentación de los cables de red y comunicación para evitar interferencias.
- Asegúrese de que los cables tengan etiquetas en cada extremo para ayudar con las actividades de mantenimiento y conexión.
Sistemas críticos
En lo que respecta a la información crítica para el negocio y comercialmente sensible, existen una serie de controles adicionales que las organizaciones deben considerar:
- Equipos blindados, incluidas alarmas y salas seguras en puntos de terminación de cables, incluido el acceso controlado y registrado.
- Blindaje electromagnético.
- Mayores inspecciones físicas.
ISO 27701 Cláusula 6.8.2.4 – Mantenimiento de equipos
Referencias ISO 27002 Control 7.13
Para evitar el acceso no autorizado a la PII (o daños a cualquier activo relacionado con la privacidad), las organizaciones deben mantener todos los equipos de acuerdo con las pautas del fabricante, que incluyen:
- Cumplir con un robusto programa de mantenimiento, realizado por personal capacitado y autorizado.
- Registro de todas las fallas, incluidas las sospechas de mal funcionamiento.
- En su caso, someter al personal de mantenimiento externo a un acuerdo de confidencialidad.
- Garantizar que los contratistas de mantenimiento externos reciban la supervisión adecuada cuando realicen sus tareas en el sitio.
- Ejercer un estrecho control sobre las funciones de mantenimiento remoto, especialmente las realizadas por personal ajeno.
ISO 27701 Cláusula 6.8.2.5 – Retiro de Activos
Referencias ISO 27002 Control 7.10
Medios de almacenamiento extraíbles
Al desarrollar políticas que rijan la eliminación de activos de medios que almacenen PII, las organizaciones deben:
- Monitorear la transferencia de PII a medios de almacenamiento, para cualquier propósito.
- Desarrollar políticas temáticas específicas basadas en requisitos de roles específicos.
- Asegúrese de que se solicite y otorgue la autorización antes de que el personal pueda retirar los medios de almacenamiento de la red.
- Almacene los medios de acuerdo con las especificaciones del fabricante.
- Asegúrese de que los medios estén libres de cualquier daño ambiental.
- Considere utilizar métodos de cifrado e implementar medidas de seguridad física adicionales.
- Minimice el riesgo de que la PII se corrompa transfiriendo información entre medios de almacenamiento según un conjunto de pautas de mejores prácticas.
- Introduzca redundancia almacenando PII en múltiples activos al mismo tiempo.
- Utilice únicamente medios de almacenamiento en entradas aprobadas (por ejemplo, tarjetas SD y puertos USB).
- Considere los riesgos inherentes al transferir PII entre medios de almacenamiento o al mover activos entre personal o instalaciones (consulte el control 27002 de ISO 5.14).
Reutilización y/o enajenación de activos
Al reutilizar, reutilizar o desechar medios de almacenamiento, las organizaciones deben:
- Formatee los medios de almacenamiento y asegúrese de que toda la PII esté documentada y eliminada antes de volver a utilizarla (consulte el control ISO 27002 8.10).
- Deseche de forma segura cualquier medio que la organización ya no utilice y que se haya utilizado para almacenar PII.
- (Si la eliminación requiere la participación de un tercero) tenga mucho cuidado para garantizar que sea un socio adecuado y adecuado, en línea con la responsabilidad de la organización hacia la PII y la protección de la privacidad.
- Implemente procedimientos que identifiquen los medios de almacenamiento que están disponibles para su reutilización o que pueden eliminarse de forma segura.
Controles ISO 27002 relevantes
- ISO 27002 5.14
- ISO 27002 8.10
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.8.2.6 – Seguridad de equipos y activos fuera de las instalaciones
Referencias ISO 27002 Control 7.9
En ocasiones, las organizaciones necesitarán autorizar el uso de dispositivos externos, que a su vez tienen el potencial de acceder a PII y/o información relacionada con la privacidad, incluidos los dispositivos BYOD.
Equipo temporal fuera del sitio
Al administrar cualquier dispositivo que almacene o utilice activamente PII en una ubicación que no sea la designada oficialmente, las organizaciones deben:
- Solicite a todo el personal que no deje dichos dispositivos desatendidos en lugares públicos.
- Asegúrese de que se cumplan las directrices del fabricante, especialmente las relativas a la seguridad del dispositivo y la protección del medio ambiente.
- Mantenga un registro preciso y actualizado de cómo se pasan los dispositivos externos entre el personal, en caso de que surja la necesidad.
- (Para activos organizacionales) requerir la autorización adecuada antes de retirar el equipo de las instalaciones y mantener un registro de todas esas actividades (consulte el control 27002 de la norma ISO 5.14).
- Solicite al personal que tenga en cuenta cómo utilizan los activos en lugares públicos, para evitar la visualización no autorizada de PII y material relacionado con la privacidad.
- Utilice la tecnología GPS y la administración remota para realizar un seguimiento de los dispositivos externos, manteniendo al mismo tiempo la capacidad de borrarlos de forma remota.
Equipo externo permanente
A veces es necesario que una organización instale activos fijos permanentes, fuera de sus instalaciones o instalaciones de oficina. Dicho equipo incluye:
- Cajeros automáticos
- Antenas de comunicación.
- Equipo de radio.
Al instalar dicho kit, las organizaciones deben considerar:
- Monitoreo las XNUMX horas (ya sea en persona o a través de CCTV) (ver control 27002 de la norma ISO 7.4).
- Controles de acceso basados en software.
Controles ISO 27002 relevantes
- ISO 27002 5.14
- ISO 27002 7.4
ISO 27701 Cláusula 6.8.2.7 – Eliminación segura o reutilización de equipos
Referencias ISO 27002 Control 7.14
La PII y la información relacionada con la privacidad están particularmente en riesgo cuando surge la necesidad de eliminar o reutilizar los activos de almacenamiento y procesamiento, ya sea internamente o en asociación con un proveedor externo especializado.
Por encima de todo, las organizaciones deben garantizar que cualquier medio de almacenamiento marcado para su eliminación que contenga PII debe ser físicamente destruido, borrado or sobrescrito (ver controles ISO 27002 7.10 y 8.10).
Para evitar que la PII se vea comprometida de alguna manera, al deshacerse o reutilizar activos, las organizaciones deben:
- Asegúrese de que todas las etiquetas se eliminen o modifiquen, según sea necesario, especialmente aquellas que indican la presencia de PII.
- Eliminar todos los controles de seguridad físicos y lógicos, cuando se desmantelen instalaciones o se trasladen locales, con vistas a su reutilización en una nueva ubicación.
Controles ISO 27002 relevantes
- ISO 27002 7.10
- ISO 27002 8.10
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
ISO 27701 Cláusula 6.8.2.8 – Equipo de usuario desatendido
Referencias ISO 27002 Control 8.1
Las organizaciones deben implementar políticas temáticas específicas que aborden diferentes categorías de dispositivos terminales, centrándose en mejorar la protección de la privacidad y la seguridad de la PII.
Las organizaciones deben redactar políticas y procedimientos que tengan en cuenta:
- La existencia de PII en la red de una organización.
- Cómo se registran inicialmente los dispositivos y posteriormente se identifican.
- Controles de protección física.
- Restricciones en la instalación de software.
- Gestión remota.
- Controles de acceso de usuarios.
- Criptografía.
- Plataformas antimalware.
- Copia de seguridad y recuperación ante desastres.
- Restricciones de navegación y filtrado de contenidos.
- Análisis de usuarios (ver control ISO 27002 8.16).
- Almacenamiento extraíble y dispositivos asociados.
- Segregación de datos basada en dispositivos, es decir, creación de una barrera entre los datos personales y organizacionales.
- Planes de contingencia ante pérdida o robo de dispositivos.
Responsabilidades del usuario
Los usuarios de dispositivos externos deben estar continuamente al tanto de las políticas y procedimientos que se les aplican, como usuarios externos.
Como conjunto general de principios, los usuarios deberían:
- Cierre las sesiones de trabajo/remotas cuando ya no estén en uso.
- Respetar las medidas de protección física y lógica.
- Tenga en cuenta su entorno físico cuando acceda a PII o información relacionada con la privacidad (es decir, evite "navegar por los hombros" en áreas públicas).
Protocolos Traiga su propio dispositivo (BYOD)
Las organizaciones que permiten que el personal utilice sus propios dispositivos personales también deben considerar:
- Instalación de software que ayude en la separación de datos comerciales y personales.
- Hacer cumplir una política BYOD que incluya:
- Reconocimiento de propiedad organizacional de la PII.
- Medidas de protección física y digital (ver arriba).
- Eliminación remota de datos.
- Cualquier medida que garantice la alineación con la legislación de PII y la orientación regulatoria.
- Derechos de propiedad intelectual, relacionados con la propiedad de la empresa sobre cualquier cosa que se haya producido en un dispositivo personal.
- Acceso organizacional al dispositivo, ya sea con fines de protección de la privacidad o para cumplir con una investigación interna o externa.
- CLUF y licencias de software que pueden verse afectados por el uso de software comercial en un dispositivo de propiedad privada.
Directrices WiFi
Al considerar cómo gestionar la conectividad WiFi para dispositivos externos, las organizaciones deberían:
- Considere cuidadosamente cómo los dispositivos pueden conectarse a redes inalámbricas (es decir, evitando redes no seguras mientras usan PII).
- Asegúrese de que WiFi tenga capacidad suficiente para facilitar las copias de seguridad, atender las actividades de mantenimiento y procesar datos sin ningún impedimento importante para el rendimiento del dispositivo y la seguridad de los datos.
Controles ISO 27002 relevantes
- ISO 27002 8.9
- ISO 27002 8.16
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.8.2.9 – Política de escritorio limpio y pantalla limpia
Referencias ISO 27002 Control 7.7
La PII y la información relacionada con la privacidad están particularmente en riesgo cuando el personal descuidado y los contratistas externos no cumplen con las medidas de seguridad en el lugar de trabajo que protegen contra la visualización accidental o deliberada de la PII por parte de personal no autorizado.
Las organizaciones deben redactar políticas de escritorio y pantalla despejados específicas para cada tema (espacio de trabajo por espacio de trabajo, si es necesario) que incluyan:
- Ocultar de la vista casual, guardar bajo llave o almacenar de forma segura PII e información relacionada con la privacidad, cuando dicho material de datos no sea necesario.
- Mecanismos de bloqueo físico de los activos TIC.
- Controles de acceso digitales, como tiempos de espera de visualización, protectores de pantalla protegidos con contraseña y funciones de cierre de sesión automático.
- Impresión segura y recogida inmediata de documentos.
- Almacenamiento seguro y bajo llave de documentación confidencial y eliminación adecuada de dicho material cuando ya no sea necesario (trituración, servicios de eliminación de terceros, etc.).
- Tener en cuenta las vistas previas de mensajes (correo electrónico, SMS, recordatorios de calendario) que pueden proporcionar acceso a datos confidenciales; cada vez que se comparte o se ve una pantalla en un lugar público.
- Limpiar las pantallas físicas (p. ej., pizarras y tablones de anuncios) de información confidencial, cuando ya no sea necesaria.
Cuando las organizaciones abandonan colectivamente sus instalaciones (por ejemplo, durante un traslado de oficina o una reubicación similar), se deben hacer esfuerzos para garantizar que no se deje ninguna documentación, ya sea en escritorios y sistemas de archivo, o cualquiera que pueda haber caído en lugares oscuros.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.8.2.1 | Ubicación y protección de equipos |
7.8 – Ubicación y protección de equipos para ISO 27002 |
Ninguna |
| 6.8.2.2 | Servicios públicos de apoyo |
7.11 – Utilidades de soporte para ISO 27002 |
Ninguna |
| 6.8.2.3 | Seguridad del cableado |
7.12 – Seguridad del cableado para ISO 27002 |
Ninguna |
| 6.8.2.4 | Mantenimiento De Equipo |
7.13 – Mantenimiento de equipos para ISO 27002 |
Ninguna |
| 6.8.2.5 | Eliminación de activos |
7.10 – Medios de almacenamiento para ISO 27002 |
Ninguna |
| 6.8.2.6 | Seguridad de equipos y activos fuera de las instalaciones |
7.9 – Seguridad de los activos fuera de las instalaciones para ISO 27002 |
Ninguna |
| 6.8.2.7 | Eliminación segura o reutilización del equipo |
7.14 – Eliminación segura o reutilización de equipos para ISO 27002 |
Artículo (5) |
| 6.8.2.8 | Equipo de usuario desatendido |
8.1 – Dispositivos terminales de usuario para ISO 27002 |
Ninguna |
| 6.8.2.9 | Política de escritorio limpio y pantalla limpia |
7.7 – Limpiar escritorio y limpiar pantalla para ISO 27002 |
Artículo (5) |
Cómo ayuda ISMS.online
Hacemos ROPA fácil
Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.
Plantillas de evaluación para usted
Es fácil configurar y ejecutar diferentes tipos de evaluaciones de privacidad, desde evaluaciones de impacto de la protección de datos hasta evaluaciones de preparación regulatoria o de cumplimiento.
Contamos con un banco de riesgos incorporado
Hemos creado un banco de riesgos integrado y una variedad de otras herramientas prácticas que ayudarán en cada parte del proceso de evaluación y gestión de riesgos.
Reserve una demostración hoy y descubra cómo podemos ayudar a su organización a alcanzar la norma ISO 27701.
