Cómo proteger los datos en el teletrabajo con ISO 27001
ISO 27001
En el pasado, trabajar desde casa era una opción para los autónomos y las empresas que estaban dispuestas a reducir los costos operativos y mejorar el equilibrio entre la vida laboral y personal de los empleados. Sin embargo, la irrupción de la pandemia del Covid-19 a nivel mundial ha cambiado la forma de trabajar.
Esto ha obligado a muchas empresas a adaptarse rápidamente, optando en muchas ocasiones por el trabajo remoto. De este modo se ha dado la creación de un entorno de trabajo virtual haciendo del teletrabajo una actividad productiva.
Sin embargo, en el teletrabajo la productividad no es el único factor a tener en cuenta. También es preciso mantener el trabajo en remoto seguro, abordando los distintos desafíos de seguridad de la información en esta modalidad.
Con la ayuda de los requisitos de la norma ISO 27001 para la gestión de riesgos de seguridad de la información y los controles de seguridad de su Anexo A, esta tarea puede facilitarse y permitirle aprovechar al máximo el teletrabajo con el menor riesgo.
Desafíos de seguridad en el trabajo remoto
Además de sus muchos beneficios, el teletrabajo cuenta con algunos desafíos y riesgos relativos a la seguridad de la información. Entre estos riesgos puede mencionarse el acceso no autorizado, la violación de información confidencial y la modificación o incluso destrucción de datos.
Hay que partir de la base de que durante el teletrabajo los empleados están fuera del entorno de la organización. Por ello, para desempeñar sus funciones diarias utilizarán dispositivos móviles, que pueden no contar con buenos controles de seguridad.
Controles de la ISO 27001 vinculados al teletrabajo
Un Sistema de Gestión de la Seguridad de la Información basado en los requisitos y controles de la norma ISO 27001 permite tomar precauciones frente a los distintos riesgos de seguridad de la información que puedan aparecer. Dos de los controles de ISO 27001/ISO 27002 están dedicados al teletrabajo en el Anexo A de la norma. Estos son A.6.2.1 Política de dispositivos móviles y A.6.2.2 Teletrabajo.
El control A 6.2.1 establece que se debe adoptar una política y medidas de seguridad de apoyo para gestionar los riesgos de seguridad debido al uso de dispositivos móviles. Por su parte el control A 6.2.2 establece que la empresa u organización debe emitir una política que defina las condiciones y restricciones para el teletrabajo.
Asimismo, el control A 7.2.2 establece que todos los empleados y empleadas de la organización deben contar con la conciencia adecuada y con una formación actualizada de manera periódica para llegar a garantizar que las políticas y procedimientos se implementen de manera correcta.
Precauciones frente al teletrabajo
Independientemente del sector en que se encuadre la organización, si se hace uso del teletrabajo será preciso tomar precauciones para evitar en la medida de lo posible los riesgos que esta modalidad involucra. Es fundamental que no se permita la conexión de dispositivos o de usuarios que no cumplan con las políticas de dispositivos móviles y teletrabajo.
Por este motivo es preciso que las organizaciones definan quién puede teletrabajar y tener acceso remoto a qué sistemas y datos, y quién no. El monitoreo continuo, así como las pruebas de penetración y las auditorías ayudarán a detectar vulnerabilidades e implementar cambios en la estrategia de seguridad de la información si fuera preciso.
Dar cumplimiento a la ISO 27001
En este marco en el que el teletrabajo tiene un papel predominante en muchas empresas es esencial crear una conciencia al respecto y cumplir con la norma ISO 27001. La cláusula 7.2 de ISO 27001 y el control A 7.2.2 ponen más énfasis en este aspecto.
Para ello, es necesario un programa de formación periódico, continuo y actualizado sobre políticas y procedimientos en materia de teletrabajo. En cuanto a las actividades de concientización pueden tener cualquier formato incluidas reuniones o capacitaciones acerca del uso de la intranet de la empresa, entre otras.
También es preciso señalar la importancia del compromiso de la gerencia con la seguridad de la información. Además, es necesario cumplir con los controles de seguridad de la información y fomentar la responsabilidad de los trabajadores que trabajen en remoto.
Asimismo, es fundamental evaluar la comprensión de los participantes después de las actividades de sensibilización que se impartan en materia de seguridad de la información. Existen otros métodos que también permiten aumentar la conciencia, así como crear un entorno de teletrabajo más seguro. A continuación, se señalan algunos de estos métodos:
- Asegurar que las contraseñas sean difíciles de descifrar y cambiarlas de manera regular.
- Elegir herramientas con seguridad integrada.
- Implementar el monitoreo regular de redes y sistemas.
- Revisar la autorización y los derechos de acceso de forma periódica, especialmente cuando un trabajador que se encontraba en la modalidad de teletrabajo remoto renuncia.
- Establecer reglas a seguir para videoconferencias, como capturas y grabación de pantalla.
- Desarrollar una respuesta en caso de que se produzca una brecha de seguridad o un plan de continuidad del negocio.
Software ISOTools Excellence ISO 27001
El hecho de que el trabajo remoto se convierta en una parte más importante de la vida laboral tiene sus ventajas. Por otro lado, puede causar muchos problemas tanto a los propios empleados y empleadas como a las empresas.
En este sentido la norma ISO 27001 y sus controles ayuda a fomentar el trabajo remoto de forma segura. La ISO 27001 es un estándar de carácter internacional, y junto al resto de normas que componen su familia, originan los requisitos necesarios para implementar un SGSI de forma sencilla y rápida.
En esta línea el Software ISOTools Excellence presta solución a todas las cuestiones para implementar un SGSI en una empresa con los requisitos necesarios para la norma ISO 27001.