ISO 27001 e ISO 20000-1: Normas que ayudan a controlar la seguridad en el teletrabajo
ISO 27001
La actualidad y la situación que ha provocado la pandemia originada por el COVID-19 demuestra que la gran mayoría de las empresas que no se encuentran preparadas para afrontar una incidencia del tal calibre y la mayor de ellas han tenido que improvisar.
Realizar la compra de ordenadores, portátiles o tablets para trabajar desde casa, u obligar a los trabajadores a utilizar los suyos propios puede resultar relativamente sencillo, pero ¿Qué pasa con la seguridad de la información? ¿los dispositivos con los que se trabaja cuentan con las medidas necesarias? ¿la empresa dispone de algún procedimiento que regule la configuración mínima de esos dispositivos? ¿es segura la conexión que utilizan los trabajadores en casa? Son muchas preguntas cuya respuesta suele ser: no.
Una solución para las empresas es la implementación de una norma ISO que, además de proporcionar las ventajas de un sistema de gestión, ofrece seguridad y tranquilidad.
En este artículo vamos a hablar sobre diferentes normas ISO que se utilizan, entre otras cosas, para garantizar la seguridad de la información y, por lo tanto, la seguridad en el teletrabajo.
La norma ISO 27001
La ISO 27001 se denomina “Sistema de Gestión de Seguridad de la Información”, se encarga precisamente de esto mismo, de la seguridad de toda la información, datos, documentados, activos, que tiene una empresa, preserva la confidencialidad, la integridad y la disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos.
Es muy importante que el sistema de gestión de seguridad de la información según la ISO 27001 forme parte y esté integrado con los procesos de la empresa y con la estructura de gestión general, y que la seguridad de la información se tenga en cuenta al realizar el diseño de procesos, tanto del sistema de información como de los controles.
Según los controles de seguridad, la norma ISO 27001 dispone de un Anexo en el que se establece una amplia lista de controles y de objetivos de control que contemplan la seguridad desde diferentes puntos como pueden ser:
- La seguridad física y del entorno
- La gestión de activos
- La seguridad de las operaciones
- Control de acceso
- Criptografía
- Gestión de incidentes
- Seguridad de comunicaciones
- Dispositivos móviles
- Teletrabajo
La norma ISO 27001 te obliga a implantar una política y las medidas de seguridad adecuadas para proteger la información accedida, tratada o almacenada en emplazamientos de teletrabajo.
Es muy importante señalar, que la norma ISO 27001 impone la “protección y privacidad de la información de carácter personal” por lo que es necesario cumplir con el Reglamento General de Protección de Datos Personales (RGPD), además de ser una obligación legal, es uno de los requisitos que establece la norma ISO 27001.
La norma ISO 20000-1
La norma ISO 20000-1 “Gestión de Servicios”, tiene como función principal la gestión general y eficiente de los servicios. Engloba un conjunto de procesos clave que van desde la gestión de todos los niveles de servicio, generación de informes, presupuestos y contabilidad de los servicios, incluso la gestión de proveedores, incidentes y problemas, gestión y gestión de la entrega, entre otros muchos.
La implantación de la norma ISO 20000-1 y los procesos de gestión de servicios permite a las organizaciones, conseguir un control de todas las actividades y un incremento de la eficiencia. También es necesario incorporar a la cultura de la organización la mejora continua en todos los ámbitos. De igual forma, ayuda a mejorar el nivel de servicio que se proporciona, asegurando la entrega de servicios consistentes, rentables y de calidad.
La norma ISO 20000-1 se dirige a las empresas que tienen un perfil técnico o tecnológico. Sin embargo, la norma ISO 27001 ofrece un cambio de aplicación mucho más amplio, pudiéndose implantar en cualquier organización.
Por fortuna, existen muchas opciones en el mercado y no solo las dos normas de las que hablamos en este artículo. También encontramos, que la norma ISO 27001 tiene un campo de aplicación mucho más amplio, pudiéndose implantar en cualquier empresa.
Existen muchas opciones en el mercado y no solo las dos normas de las que hablamos durante artículo. También disponemos de la norma ISO 22301 sobre Continuidad de Negocio y la ISO 27001 sobre la Privacidad de la Información.
Seguridad de la información en casa
La norma ISO 27001 es muy completa, por lo que sólo se analizará lo que se encuentre relacionado con la seguridad de la información en el teletrabajo, por lo que se recomiendo realizar una evaluación de los activos de información que se encuentren involucrados. Después de realizar una evaluación de riesgos aplicada a estos activos e implantar controles para mitigar los riesgos identificados, brindando casos prácticos y orientaciones en la norma ISO 27002, diferenciando consejos para pequeñas y grandes empresas.
A la hora de realizar la evaluación de riesgos se tiene que analizar la seguridad física del sitio de teletrabajo. Los requisitos de seguridad de las comunicaciones, cómo accederá a los sistemas internos de la empresa, el nivel de sensibilidad de la información a ser accedida, etc. Es recomendable que se facilite el acceso al escritorio virtual para evitar el procesamiento y el almacenamiento de información el equipo doméstico, que se comparte con toda la familia.
Migrando a otras áreas que pueden resultar mucho más conflictivas, la institución tiene que ratificar que, aunque el empleado produzca desde su casa y con su ordenador, los derechos de propiedad intelectual se mantienen en la institución. El beneficio de trabajar desde casa minimiza la expectativa de privacidad, a que la organización necesita acceder a los equipos de propiedad privada del trabajador con los que verificar la seguridad de la información y validar que el equipo cuenta con las licencias de software necesarias y los antivirus necesarios para la protección contra software maliciosos.
Software ISOTools
El Software ISOTools garantiza la seguridad de sus datos gracias a los controles estrictos que forman parte de la norma ISO 27001 de seguridad de la información en la que está certificado.
Además, si quiere seguridad en la nube y disponer de toda su información, documentación y registros protegidos frente a cualquier ataque, nuestro software es garantía de ello.
¿Quiere saber más? Solicite información rellenando nuestro formulario.