Proteger la información en el teletrabajo es el desafío que afrontan los profesionales en el área de seguridad de la información, especialmente durante esta nueva normalidad. La transición al entorno de trabajo desde casa ha provocado un aumento de los ciberataques a las organizaciones, lo que exige respuestas eficaces.
Son muchas las acciones que se pueden tomar para proteger la información en el teletrabajo. De hecho, aunque ISO 27001 fue publicada mucho antes de conocer las condiciones a las que nos enfrentaría la emergencia sanitaria, ya prevé requisitos y controles útiles para este propósito.
En base a este estándar de seguridad de la información, ofrecemos la siguiente checklist para proteger la información en el teletrabajo, que esperamos sea de gran utilidad para la inmensa mayoría de organizaciones que hoy cuentan con trabajadores bajo esta modalidad.
Checklist para proteger la información en el teletrabajo
A medida que intentamos ajustar la política de TI para proteger la información en el teletrabajo, debemos estar muy atentos, ya que son muchos los protocolos de seguridad que son comunes en la oficina, pero desconocidos para los usuarios domésticos.
Aquí, una lista de verificación, basada en los requisitos de ISO 27001 y su anexo de controles, para asegurar el entorno de trabajo doméstico:
- Amenaza 1: acceso indebido a activos y datos.
- Vulnerabilidad: almacenamiento no adecuado.
- Explicación del riesgo: es posible que personas no autorizadas accedan con facilidad a los equipos y accesorios físicos fuera de la oficina.
- Acción para tratar el riesgo: utilizar archivadores con cerraduras y contraseñas seguras, para dificultar el acceso de personas no autorizadas.
- Control de ISO 27001: A.11.2.6 – Seguridad de equipos y activos fuera de las instalaciones.
- Explicación del control: el trabajo desde casa implica asegurar la integridad y la confidencialidad de la información. Para esto, es preciso que los equipos físicos siempre estén seguros.
- Amenaza 2: robo de activos o de datos.
- Vulnerabilidad: acceso libre al área de trabajo.
- Explicación del riesgo: un espacio de trabajo donde todos pueden transitar con libertad, aumenta la posibilidad de que los dispositivos sean robados.
- Acción para tratar el riesgo: adecuar una habitación exclusiva para el teletrabajo, con una puerta con cerradura.
- Control de ISO 27001: A.11.1.1. – Perímetro de seguridad física. Controles de entrada física.
- Explicación del control: un espacio exclusivo para el teletrabajo no solo permite al trabajador concentrarse en sus tareas, sino que aumenta el nivel de protección de la información y de los equipos físicos.
- Amenaza 3: divulgación de información.
- Vulnerabilidad: exposición visible de la información.
- Explicación del riesgo: la información que aparece en la pantalla, o sobre el lugar de trabajo, puede ser vista por cualquier persona no autorizada.
- Acción para tratar el riesgo: bloquear el acceso a la información, cuando no se esté trabajando.
- Control de ISO 27001: A.11.2.9 – Política de escritorio despejado y pantalla bloqueada.
- Explicación del control: debido a que se trabaja en un espacio vulnerable, es preciso adoptar prácticas fáciles de implementar para bloquear el acceso a la información y reducir así el riesgo de violaciones de seguridad.
- Amenaza 4: acceso indebido a la información.
- Vulnerabilidad: datos almacenados como texto sin formato.
- Explicación del riesgo: es posible acceder con facilidad a los datos almacenados como texto sin formato, cuando los equipos están desprotegidos.
- Acción para tratar el riesgo: proteger la información con cifrado.
- Control de ISO 27001: A.9.4.1. – Restricción de acceso a la información. Política sobre el uso de controles criptográficos.
- Explicación del control: el teletrabajo facilita el acceso de cualquier persona a la información, por lo que es preciso cifrar y encriptar, para protegerla.
- Amenaza 5: pérdida de datos en medios físicos y electrónicos.
- Vulnerabilidad: copia única de datos en el dispositivo de teletrabajo.
- Explicación del riesgo: los datos son irrecuperables cuando la única copia se destruye, se extravía o se corrompe.
- Acción para tratar el riesgo: hacer copias de los datos y almacenarlas en servidores corporativos.
- Control de ISO 27001: A.12.3.1 – Copia de seguridad.
- Explicación del control: el daño potencial ocasionado por la pérdida de datos para la organización puede impactar económica y legalmente, y también afectar a la reputación. Esto se puede prevenir asegurando que se elaboren copias de seguridad en periodos de tiempo establecidos, y que estas se almacenen en lugares seguros, lejos de los originales.
- Amenaza 6: actividades no autorizadas en sistemas de información.
- Vulnerabilidad: activo no supervisado o vigilado.
- Explicación del riesgo: uso indebido de la información y de los recursos físicos, o violación de leyes y contratos, pueden pasar desapercibidos durante mucho tiempo.
- Acción para tratar el riesgo: mantener registros del uso de los equipos y revisarlos de forma periódica.
- Control de ISO 27001: A.12.4.1 – Registro de eventos.
- Explicación del control: si ocurre un incidente o evento, los registros ayudarán a determinar lo que sucedió. También sirven para analizar tendencias y detectar actividad fraudulenta antes de que ocurran incidentes graves.
- Amenaza 7: acceso no autorizado a sistemas de información.
- Vulnerabilidad: uso de contraseñas débiles.
- Explicación del riesgo: las fugas de información, la desaparición o corrupción de los datos y el fraude pueden ser más fáciles de lograr si los usuarios utilizan contraseñas fáciles de deducir.
- Acción para tratar el riesgo: hacer cumplir el uso de contraseñas seguras por parte de los empleados.
- Control de ISO 27001: A.9.4.3. – Sistema de gestión de contraseñas.
- Explicación del control: Las normas adoptadas por el área de TI pueden hacer que las contraseñas de los usuarios sean difíciles de deducir, para proteger la información en el teletrabajo.
- Amenaza 8: acceso no autorizado a los sistemas de información con contraseña.
- Vulnerabilidad: contraseñas comprometidas.
- Explicación del riesgo: es posible que se presenten filtraciones de información, destrucción de datos o fraude mediante el uso de contraseñas que han sido de algún modo expuestas.
- Acción para tratar el riesgo: adoptar autenticación de dos pasos para el acceso a los sistemas.
- Control de ISO 27001: A9.4.2. – Procedimientos de inicio de sesión seguros.
- Explicación del control: al usar la autenticación de dos o más pasos, se crea una barrera adicional de protección. Si la contraseña ha sido comprometida, esta será inútil sin la información necesaria para el segundo paso.
- Amenaza 9: acceso no autorizado a los sistemas de información por entorno compartido.
- Vulnerabilidad: acceso compartido para múltiples usuarios.
- Explicación del riesgo: los usuarios con niveles de seguridad bajos, tienen acceso a la misma información que solo tendría que ser accesible para usuarios con niveles de seguridad altos.
- Acción para tratar el riesgo: implementar perfiles de acceso.
- Control de ISO 27001: A.9.2.2 – Aprovisionamiento de acceso de usuarios.
- Explicación del control: la definición de perfiles de acceso, según los sistemas y la información a la que se accede, disminuye el riesgo de que esta se vea comprometida en dispositivos o entornos compartidos.
- Amenaza 10: información interceptada en el canal de comunicación.
- Vulnerabilidad: uso de redes púbicas o de propiedad del empleado.
- Explicación del riesgo: es posible acceder a los datos transmitidos en texto sin formato cuando el canal está comprometido.
- Acción para tratar el riesgo: implementar redes privadas virtuales (VPN).
- Control de ISO 27001: A.13.1.1 – Controles de red.
- Explicación del control: al proteger los canales de comunicación con cifrado y aceptar solo conexiones seguras autorizadas, es posible aumentar los niveles de seguridad de la información.
- Amenaza 11: acceso a la red no autorizado.
- Vulnerabilidad: dominio de red único.
- Explicación del riesgo: todos los equipos y activos puede comprometerse si se presenta un ataque a la red.
- Acción para tratar el riesgo: separe equipos y activos en redes pequeñas con acceso controlado entre ellos.
- Control de ISO 27001: A.13.1.3 – Segregación en redes.
- Explicación del control: las redes segregadas minimizan los activos a los que se puede acceder si se produce una violación de seguridad.
- Amenaza 12: Malware (Software malicioso).
- Vulnerabilidad: Software defectuoso o desactualizado.
- Explicación del riesgo: el malware o software malintencionado pretende explotar fallas en el diseño de un programa o en las deficiencias en su implementación para, así, comprometer la información.
- Acción para tratar el riesgo: instalar software anti-malware, para detectar y eliminar software malicioso.
- Control de ISO 27001: A.12.2.1 – Controles contra malware.
- Explicación del control: el antivirus y el antispam son herramientas eficaces para minimizar el riesgo de explotación de software defectuoso, identificando este tipo de malware antes de que puedan ocasionar daño.
- Amenaza 13: software malicioso moderno.
- Vulnerabilidad: hardware o software obsoletos.
- Explicación del riesgo: el hardware o el software ya no tienen la capacidad de repeler técnicas de ataque modernas.
- Acción para tratar el riesgo: supervisar a fabricantes y a comunidades especiales para identificar hardware y software obsoletos y nuevas técnicas de ataque.
- Control de ISO 27001: A.12.6.1 – Gestión de vulnerabilidades técnicas.
- Explicación del control: cuanto antes se puedan identificar equipos y software obsoletos en la organización, de más tiempo se dispondrá para diseñar planes para tratar este tipo de situaciones.
- Amenaza 14: software malicioso en equipo desactualizado.
- Vulnerabilidad: actualizaciones no instaladas.
- Explicación del riesgo: las fallas en software que no se corrigen a tiempo pueden ser utilizadas para obtener acceso no autorizado y comprometer la información.
- Acción para tratar el riesgo: implementar un procedimiento para implementar con prontitud las actualizaciones.
- Control de ISO 27001: A.12.1.2 – Gestión de cambios.
- Explicación del control: las actualizaciones deben implementase con rapidez y de manera controlada para proteger la información en el teletrabajo.
- Amenaza 15: software malicioso con problemas de configuración.
- Vulnerabilidad: usuarios con derechos de administrador completos.
- Explicación del riesgo: la configuración incorrecta del software instalado por los usuarios, permite aprovecharse de ello para obtener acceso no autorizado y comprometer la información.
- Acción para tratar el riesgo: implementar restricciones a la instalación de software.
- Control de ISO 27001: A.12.6.2 – Restricciones a la instalación de software.
- Explicación del control: al tratar la instalación de software de forma correcta, una organización disminuye los riesgos relacionados con códigos maliciosos o errores de usuario.
- Amenaza 16: interrupción en la infraestructura de la organización.
- Vulnerabilidad: no existe proveedor alternativo.
- Explicación del riesgo: los servicios de información no se pueden reanudar cuando dependen de un solo proveedor.
- Acción para tratar el riesgo: contar con un proveedor alternativo que no sea susceptible al mismo incidente en el mismo momento.
- Control de ISO 27001: A.17.1.2. – Implementación de la continuidad de la seguridad de la información.
- Explicación del control: los incidentes ocurrirán sin importar si estamos preparados o no. Por esto, se necesita contar con planes alternativos para garantizar la continuidad de la operación y disminuir el impacto de la interrupción.
- Amenaza 17: uso inadecuado de los recursos de la organización.
- Vulnerabilidad: no existen normas definidas para el teletrabajo.
- Explicación del riesgo: el uso inadecuado de la organización y de los recursos ocurre porque los empleados no saben cómo proceder cuando trabajan desde casa.
- Acción para tratar el riesgo: establecer reglas claras para los empleados que trabajan desde casa.
- Control de ISO 27001: A.6.2.2. – Política de teletrabajo.
- Explicación del control: las normas claras sobre el teletrabajo ayudan a organizar y prevenir el mal uso de los recursos asignados a esta actividad.
- Amenaza 18: incumplimiento de legislación o acuerdos contractuales relativos al teletrabajo.
- Vulnerabilidad: no existen normas definidas para trabajar desde casa.
- Explicación del riesgo: la violación de leyes y contratos puede ocurrir porque no se conocen.
- Acción para tratar el riesgo: identificar las leyes, regulaciones y contratos relacionados con el teletrabajo que debe cumplir la organización.
- Control de ISO 27001: A.18.1.1. – Identificación de la legislación aplicable y los requisitos contractuales.
- Explicación del control: al identificar los requisitos legales específicos que la organización debe cumplir, es posible optimizar los recursos necesarios y minimizar el riesgo de transgredir los requisitos.
- Amenaza 19: uso inadecuado de acceso a recursos.
- Vulnerabilidad: no existen normas definidas para el teletrabajo.
- Explicación de protegerse contra el riesgo: el uso inadecuado de información y de los recursos, puede ocurrir porque los empleados no saben cómo acceder a los recursos cuando trabajan desde casa.
- Acción para tratar el riesgo: establecer reglas claras para brindar acceso a la información y a los sistemas para quienes trabajan desde casa.
- Control de ISO 27001: A.9.1.1. – Política de control de acceso.
- Explicación del control: La definición de requisitos para el establecimiento de perfiles de acceso aumenta la efectividad de las acciones para proteger la información en el teletrabajo.
- Amenaza 20: gestión inadecuada de los recursos de la organización.
- Vulnerabilidad: no existen normas definidas para el teletrabajo.
- Explicación de protegerse contra el riesgo: la gestión inadecuada de la infraestructura relacionada con el teletrabajo ocurre porque el personal de TI no sabe cómo operar y gestionar los servicios relacionados con el trabajo desde casa de sus compañeros.
- Acción para tratar el riesgo: mantener información documentada sobre cómo realizar actividades críticas relacionadas con la infraestructura que requiere el teletrabajo.
- Control de ISO 27001: A.12.1.1 – Procedimientos operativos documentados.
- Explicación del control: más que proteger el espacio del empleado en casa, la organización necesita definir normas y reglas sobre cómo debe proceder el personal de TI para garantizar la protección, no solo de la información, sino también de la infraestructura de la que depende.
- Amenaza 21: ingeniería social.
- Vulnerabilidad: Usuario inconsistente o no capacitado.
- Explicación de protegerse contra el riesgo: los usuarios que trabajan desde casas pueden convertirse en víctimas de esquemas basados en correo electrónico e internet.
- Acción para tratar el riesgo: ofrecer sesiones de sensibilización y formación para empleados que trabajarán desde casa.
- Control de ISO 27001: A.7.2.2. – Sensibilización, educación y formación en seguridad de la información.
- Explicación del control: finalmente, los empleados que trabajan desde casa conforman la última línea de defensa en la lucha por proteger la información en el teletrabajo. Cuanto más preparados estén para identificar y lidiar con situaciones, eventos y riesgos de seguridad de la información, mejor será su desempeño.
Precisamente, la formación adecuada es un punto esencial cuando se persigue proteger la información de modo seguro.
Proteger la información en el #Teletrabajo es el reto que asumen profesionales de la #SeguridadInformación en la nueva normalidad. Hoy, una checklist para lograrlo. Share on XDiplomado de Seguridad de la Información ISO 27001
Proteger la información en el teletrabajo es solo uno de los objetivos de un sistema de gestión de la seguridad de la información. Esta, como uno de los activos más sensibles, rentables y prioritarios de una organización, necesita acciones efectivas que garanticen su seguridad, integridad y confidencialidad.
El Diplomado de Seguridad de la Información ISO 27001 es un programa de formación de excelencia, que enseña a los profesionales en el área los conocimientos, las competencias y las habilidades necesarias para implementar, mantener, mejorar y auditar un sistema de gestión de seguridad en el trabajo basado en las mejores prácticas reconocidas a nivel internacional.
Ya puedes formarte en esta importante área. Pero no olvides antes verificar si puedes solicitar una de nuestras Becas Excellence para diplomados.