Regresar
Cómo minimizar riesgos en el trabajo remoto con la Norma ISO27001

Trabajo Remoto Cómo minimizar riesgos en el trabajo remoto con la Norma ISO27001

Actualmente, se está viviendo una época globalizada de pospandemia debido al COVID-19, la cual demandó a las empresas una evolución y adopción acelerada hacia el uso del teletrabajo, a fin de garantizar la continuidad del negocio de las empresas para mantener los procesos críticos con el soporte de las TIC (Tecnologías de la información y las comunicaciones).

Esta modalidad de trabajo es un modelo laboral en donde el empleado realiza sus funciones desde su casa y que utiliza las tecnologías de la información.

El trabajo remoto aporta ventajas al trabajador y la trabajadora, como también a la organización: provee ahorro de tiempo y costos al evitar el desplazamiento entre el domicilio y el trabajo; reduce la congestión de tráfico y las emisiones de carbono. Adicionalmente, concilia la vida familiar, social y laboral, para mí como especialista en ciberseguridad y seguridad de la información ha sido un gran reto y beneficio cambiarme a la modalidad del teletrabajo. He logrado mejorar mi calidad de vida, mi salud, soy madre y ahora disfruto más tiempo con mi hijo, gestionando objetivos laborales y personales de forma integral.

Al poder presentar las ventajas y beneficios del trabajo remoto, como ser integral, también les puedo comentar que he tenido que configurar y planear la gestión de riesgos en mi hogar, para proteger los datos de la empresa donde estoy laborando actualmente. Al ser una gran empresa internacional, me solicitan aplicar y cumplir las políticas y procedimientos de seguridad de información para proteger los datos en la ejecución del trabajo a distancia, adicionalmente, colaboro en la gestión de riesgos TI y auditorias en mi rol de ingeniera de cumplimiento TI.

También gestiono labores de comunicación y concientización con los diversos procesos involucrados de la compañía, a fin de fortalecer los conocimientos en el talento humano sobre riesgos y amenazas emergentes del contexto del trabajo a distancia.

Ahora se incluyen riesgos potenciales emergentes derivados de esta modalidad de trabajo, el cual debe ser gestionado y tratado para evitar incidentes con altos impactos y evitar pérdidas, daños (parcial o total) a la información o a los procesos críticos que se soportan con las tecnologías.

Entre los principales riesgos que pude identificar en este contexto:

  • Riesgo de pérdida de dispositivos móviles.
  • Acceso a los sistemas y a la información desde el dispositivo robado o perdido.
  • Uso de conexiones a internet no seguras.
  • Instalación de software no seguro.
  • Trabajadores que finalizan su relación laboral y disponen de datos confidenciales en sus dispositivos personales.
  • Alteración de integridad de información o acceso indebido mediante  malware
  • Fuga de información o acceso a un recurso a través de la ingeniería social, phishing, otros.
  • Pérdida o deterioro de la información como causa de la ausencia de mantenimiento físico o actualización oportuna de software, lo que también pude generar vulnerabilidad ante ciberataques.
  • Fuga de información a través del phishing 
  • Afectación de disponibilidad de servicios informáticos y telecomunicaciones por virus o correos spam.
  • Fallas de telecomunicaciones y/o energía eléctrica 
  • Fraudes o fugas de información confidencial por falta de concienciación o errores humanos.

Es por ello que es recomendable realizar un análisis de riesgos para identificar y evaluar los riesgos antes de iniciar las labores empresariales mediante trabajo remoto, planificar la gestión y la aplicación de controles de seguridad para reducir la ocurrencia de incidentes de alto impacto para la organización.

Cabe destacar que la Norma ISO27001 proporciona un maco de controles para gestionar riesgos asociados con el trabajo de esta forma en su anexo A, los cuales son:

A 6.2.1 Política de dispositivos móviles

Este control trata sobre la disposición de políticas de Seguridad de la Información como medidas concretas que mitiguen los riesgos de la seguridad de la información en el uso de dispositivos móviles en una organización.Debe considerar los siguientes aspectos:

  • El registro de nuevos dispositivos.
  • La cancelación de registro de dispositivos móviles.
  • Requisitos de seguridad física.
  • Requisitos de las seguridades técnicas incluidas en conexiones remotas.
  • Control de software a instalar y usar.
  • Control de acceso y encriptación en reposo y de dispositivos en tránsito.
  • Gestión legal y contractual.

A 6.2.2 Teletrabajo

Se debe desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.

Entre los controles para la gestión del riesgo en el teletrabajo se encuentran:

  • La protección ante software malicioso y los requisitos de firewall.
  • La seguridad física existente del sitio de teletrabajo, considerando la seguridad física del edificio y del entorno local.
  • Los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organización, la sensibilidad de la información a ser accedida y pasada sobre el enlace de comunicación y la sensibilidad del sistema interno.
  • El uso de redes domésticas y requisitos o restricciones de la configuración de los servicios de red inalámbricos.
  • Las políticas y los procedimientos para evitar conflictos relativos a los derechos de propiedad intelectual desarrollados en los equipos de propiedad privada.
  • Los acuerdos de licencia software que son tales que, las organizaciones pueden ser responsables de la concesión de licencias a los clientes de software en estaciones de trabajo de propiedad privada. Los empleados o de usuarios de terceras partes.
  • La definición de la clasificación de la información que se puede realizar y los sistemas y servicios internos a los que el teletrabajador se encuentra autorizado a acceder.
  • El suministro de soporte y mantenimiento de hardware y software.
  • La provisión de seguros.
  • Los procedimientos para el respaldo y la continuidad del negocio.
  • La auditoría interna y el control de la seguridad.
  • Gestión y control de aspectos legales y contractuales.
  • La revocación de la autoridad y de los derechos de acceso, y el regreso de los equipos cuando las actividades de teletrabajo finalizan.

A 7.2.2 Sensibilización, educación y formación en seguridad de la Información

Se enfoca en la importancia de crear conciencia y cumplir con los requisitos de seguridad de información en la organización para la protección de los datos con el fortalecimiento de la cultura preventiva en el talento humano.

Entre los controles de este apartado se encuentran:

  • Programas de formación actualizados, sobre las políticas, los procedimientos y los requisitos de seguridad de la organización.
  • Reuniones, capacitaciones online, foros o publicaciones en la intranet o en carteleras a las que tienen acceso todos los trabajadores.
  • Encuestas.
  • Evaluaciones de eficacia de las comunicaciones y formaciones del talento humano.

 

Angélica González

Autora: Angélica González.

Descripción: Ingeniera de cumplimiento, empresa Tutenlabs y especialista en ISO 27001 (certificada por AENOR ESPAÑA), ciberseguridad industrial, auditoria IT, continuidad, ciberresilencia, promotora del rol de la mujer en el área de ciberseguridad y tecnología.

 
Ricardo Ollarves
Ricardo Ollarves
Content writer para Interfell. Amigo del SEO, Ingeniero en Informática de profesión y geek de nacimiento. En todos lados como @ricardollarves