Aplicar los controles de ISO 27001 al teletrabajo ya era una preocupación en las organizaciones y para los encargados del área de TI o de Seguridad de la Información, antes de la emergencia sanitaria.
Hoy es un tema que requiere mayor atención, por obvias razones, pero también porque parece que al regresar a la normalidad, de forma muy lenta, muchas organizaciones y trabajadores, por razones diferentes, tomarán el teletrabajo como su mejor opción.
Así es que llega el momento de abordar el tema y debatir con propiedad sobre cómo aplicar los controles de ISO 27001 al teletrabajo. Más allá de la preocupación natural por la seguridad de la información, aplicar los controles de ISO 27001 al teletrabajo se hace necesario para alcanzar la conformidad absoluta con el estándar y la regulación vigente.
Aunque se trata de un mito, hay quienes sostienen que ISO 27001 no fue diseñada pensando en esta posibilidad, y que se queda rezagada ante los efectos de la pandemia. Esto no es así. Sí hay controles adecuados y, a continuación, aprenderemos a aplicar los controles de ISO 27001 al teletrabajo, garantizando la seguridad de la información y alcanzando la conformidad con los requisitos de la norma.
Aplicar los controles de ISO 27001 al teletrabajo – ¿Qué se considera teletrabajo y qué riesgos implica?
Existen varias definiciones de teletrabajo. Pero todas parecen compartir dos elementos comunes: la primera, el empleado trabaja desde cualquier lugar fuera del entorno físico de la organización, usualmente su vivienda. Y la segunda, el trabajador utiliza algún tipo de tecnología para comunicarse, usualmente a su cargo y sobre la que él tiene control relativo o absoluto. En ocasiones, también utiliza un equipo de su propiedad.
Cada uno de los escenarios mencionados, o los dos combinados, suponen riesgos importantes para la seguridad de la información. Algunos de ellos, los más recurrentes y sobre los que ya hemos hablado en este espacio son:
- Acceso no autorizado a los sistemas de la organización, por parte de familiares o amigos del trabajador, de forma involuntaria, o intencional.
- Pérdida o hurto del equipo o dispositivo, o de la información que contienen.
- Acceso a los sistemas y a la información desde el dispositivo robado o perdido.
- Pérdida o deterioro de la información como causa de la ausencia de mantenimiento físico o actualización oportuna de software, lo que también pude generar vulnerabilidad ante ciberataques.
- Redes de comunicaciones inseguras o inestables.
- Acceso no permitido a información impresa en papel.
¿Cuáles son los controles de ISO 27001 útiles para mitigar o eliminar estos riesgos?
ISO 27001 proporciona un maco de controles para mitigar o eliminar riesgos asociados con el teletrabajo en su anexo A. Estos controles constituyen las mejores prácticas para garantizar que los trabajadores observen los mismos protocolos de seguridad que les serían aplicables en el trabajo presencial. Estos son:
A 6.2.1 Política de dispositivos móviles
El propósito de este control es asegurar la seguridad de la información cuando esta es tratada a través de dispositivos móviles, pero también de equipos como portátiles u ordenadores en las condiciones propias del teletrabajo.
En la práctica, la organización debe redactar y comunicar políticas de Seguridad de la Información, que contengan acciones concretas para mitigar o eliminar los riesgos. Entre otros elementos, esta política debe considerar:
- El registro oportuno y completo de cada uno de los dispositivos que utilizará el tele-trabajador.
- Los requisitos mínimos de acceso y de infraestructura para estos dispositivos, en el lugar de desarrollo de las tareas del trabajador.
- Los requisitos de seguridad física.
- Requerimientos de seguridad técnica, lo que incluye la conexión a redes externas.
- El control de acceso a software, claves, contraseñas, preguntas de seguridad…
- Encriptación de la información.
- Realizar una evaluación de riesgos en el lugar del teletrabajo, antes de iniciar las tareas.
- Aplicar controles adecuados para mitigar o eliminar los riesgos identificados.
- Establecer los mecanismos de verificación periódicos de la adopción de los protocolos y controles que apliquen para cada uno de los tele-trabajadores.
La organización, por medio de esta política establece reglas para la implementación de los controles necesarios para proteger, acceder, almacenar o procesar información durante las tareas que se lleven a cabo en la modalidad de teletrabajo. La política, por otra parte, definirá:
- Quiénes pueden trabajar bajo esta modalidad.
- Qué aplicaciones, programas, software o bases de datos estarán disponibles para las personas que trabajen de forma remota.
- Qué tipos de control de acceso y de seguridad de la red se deben aplicar según ISO 27001.
- Cómo se deben configurar los dispositivos en el lugar de trabajo, y el mismo lugar de trabajo. Por ejemplo, definir si el trabajador podrá o no compartir la habitación con trabajadores de otras organizaciones.
- Cuál será la política en cuanto a encriptación de datos y hasta dónde podrá almacenarse información en el lugar de teletrabajo.
- Cuál debe ser la política de respaldo de la información, backups y protección contra ciberataques.
A 6.2.2 Teletrabajo
En este control, además de requerir una política para definir las condiciones del teletrabajo, se habla de las restricciones. Una vez más se trata de evaluar qué activos físicos y de información están vinculados a la actividad de teletrabajo, y, con base en ello, realizar una evaluación de riesgos aplicada a esos activos, implementando los controles adecuados para mitigar y eliminar los riesgos identificados.
Textualmente, el control A 6.2.2 Teletrabajo, solicita evaluar:
- La seguridad física existente en el lugar, edificio o entorno propuesto para el teletrabajo.
- Los requisitos de seguridad de las redes de comunicaciones que se utilizarán y la sensibilidad de la información a la que se accederá.
- La posibilidad de acceso no autorizado a la información.
- El uso de redes domésticas y las restricciones que se deben incorporar en la configuración de los servicios de red inalámbricos.
- La política y los procedimientos para evitar conflictos relativos a derechos de autor o propiedad intelectual de contenidos o productos desarrollados en equipos de propiedad del trabajador.
- Acuerdos de licencia de software que estén bajo el control del trabajador, y los que correspondan a la organización.
- Protección ante software malicioso y requisitos de firewall.
- Suministro de equipos y mobiliario adecuados para el trabajo, en el caso de que no se permita el uso de bienes de propiedad del trabajador.
- Definición clara del trabajo y las tareas permitidas, así como de las horas de trabajo.
- Reglas y directrices claras para el acceso de la familia y visitantes al espacio donde se ubican los equipos y mobiliario de la organización.
- Suministro de soporte y mantenimiento para hardware y software.
- Provisión de seguros.
- Procedimientos para el respaldo y preservación de la información, como para la continuidad del negocio en caso de un evento disruptivo.
- Condiciones y oportunidad para la práctica de una auditoría de verificación del cumplimiento de las obligaciones y de las restricciones.
- Revocación de permisos, privilegios y derechos de acceso, como regreso de los equipos, cuando finalicen las actividades de teletrabajo, bien sea porque el trabajador regresa a la modalidad presencial o porque deja de trabajar para la organización.
A 7.2.2 Sensibilización, educación y formación en Seguridad de la Información
No específicamente diseñado para la actividad de teletrabajo, pero no por ello menos importante, el control A 7.2.2 se enfoca en la importancia de crear conciencia y cumplir con los requisitos de ISO 27001.
Para ello, es indispensable contar con programas de formación actualizados, sobre las políticas, los procedimientos y los requisitos del estándar ISO 27001. Aunque una buena parte de esta misión se puede abordar con actividades como reuniones, capacitaciones online, foros o publicaciones en la intranet o en carteleras a las que tienen acceso todos los trabajadores, la mejor forma de asegurar formación de calidad, es contando con programas especializados, ofrecidos por instituciones que cuenten con la debida experiencia y la estructura académica y tecnológica apropiada.
Diplomado de Seguridad de la Información ISO 27001
Cómo aplicar los controles de ISO 27001 al teletrabajo, es una de las competencias que adquirirán los alumnos del Diplomado de Seguridad de la Información ISO/IEC 27001.
Pero esta es apenas una mínima parte de lo que el estudiante abordará en este completo programa de formación. Los profesionales que se inscriban, al finalizar el Diplomado, tendrán la capacidad para desarrollar, implementar, mantener y auditar un Sistema de Gestión de Seguridad de la Información, en conformidad con los requisitos de la norma internacional ISO 27001.
De esta forma, la organización contará con los profesionales idóneos para hacer frente a los retos que hoy plantea la seguridad de la información, particularmente en un escenario en el que el teletrabajo tendrá una participación cada vez más importante.
Este programa de excelencia ofrece un plus adicional: titulación de la Escuela Europea de Excelencia, de ISOTools y del Registro Europeo de Auditores Certificados, que faculta a estos profesionales para ejercer como auditores de SGSI, en cualquier país de la Unión Europea o de América Latina.
Es sin duda una oportunidad para que alcances tus metas profesionales y lleves tu carrera a un nivel superior. Puedes hacerlo ahora.