jueves, 31 de octubre de 2019

QUÉ INCLUIR EN UNA POLÍTICA DE ACCESO REMOTO ISO 27001


El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. 


La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.


El reto que implica la política de acceso remoto ISO 27001

Cada vez son más los trabajadores que deben acceder de forma remota a la información de sus organizaciones. Los trabajos que realizan algunos empleados durante un viaje de negocios, o cuando están en casa, sumados a las diferentes modalidades de teletrabajo implican necesariamente la necesidad de conceder permisos para acceso remoto.

Se trata de modalidades de trabajo convenientes para la empresa y sus trabajadores. Pero no por ello se debe descuidar la seguridad y la protección de la información y los datos de la organización. Así, se vuelve cada vez más necesaria una política de acceso remoto ISO 27001.

¿Qué se debe considerar en la política de acceso remoto ISO 27001?

Hasta el momento tenemos claro que las organizaciones necesitan una política de acceso remoto ISO 27001. En este documento, se establecen las condiciones, restricciones, procedimientos y mecanismos operativos necesarios para permitir el acceso remoto con seguridad.

Para ello, la política de acceso remoto ISO 27001 debe tener en cuenta:
  • La seguridad física de las instalaciones, edificios y su entorno.
  • La concienciación de los teletrabajadores sobre la necesidad de proteger sus contraseñas de acceso, y no compartirlas con nadie, ni siquiera con los miembros de su familia.
  • El compromiso de los empleados de no realizar actividades ilícitas ni vulnerar las políticas de la organización o utilizar el acceso remoto suministrado para obtener lucro comercial.
  • Los teletrabajadores, o cualquier empleado al que se le autorice el acceso remoto, deben comprometerse a configurar sus dispositivos de tal forma que, al terminar la sesión, se deshabiliten las opciones de acceso remoto.
  • Debe justificarse la necesidad de acceder a los datos internos o al sistema. Asimismo debe definirse el tipo de trabajo y la sensibilidad y clasificación de la información.
  • Los datos transmitidos durante una sesión de acceso remoto deben encriptarse y el acceso debe autorizarse por autenticación multifactor. Es necesario prohibir el almacenamiento y procesamiento de los datos a los que se accede.
  • La capacidad de los usuarios de acceso remoto debe limitarse a ciertas operaciones y debe existir una política sobre la eliminación de la autorización, devolución de equipos o cambio de contraseñas, cuando las actividades de teletrabajo finalizan o dejan de realizarse.
  • Cada conexión debe registrarse para asegurar la trazabilidad en caso de un incidente. El acceso no autorizado a estos registros debe ser investigado y atendido. El registro a prueba de manipulaciones de firewall y dispositivos VPN mejora la confiabilidad de la pista de auditoría.
  • Debe existir una política de aceptación y rechazo en el firewall. Esta debe ser planificada y configurada.
  • El modo de operación del cortafuegos debe configurarse como “stateful”, para tener los registros completos.

Los controles de seguridad necesarios para cumplir con la política de acceso remoto ISO 27001

Como venimos diciendo, aunque el acceso remoto supone riesgos, constituye una forma de conectividad esencial para el funcionamiento de las organizaciones en este siglo. En aras de mitigar esos riesgos, la política de acceso remoto ISO 27001 define reglas para eliminar la exposición potencial derivada del uso no autorizado; propone controles de seguridad que consisten en:
  • Asegurar, controlar y encriptar mediante el uso de firewalls y redes virtuales VPN seguras.
  • Si la organización define dentro de su política el uso de un dispositivo BYOD, el host debe cumplir con los requisitos definidos en la política de configuración de software y hardware de la organización.
  • Los host que se utilicen para conectarse a la red de la organización deben ser actualizados y enviados con la firma de antivirus.
  • La VPN dividida debe evitarse en tanto que la política lo permita.
  • Los usuarios deben aceptar la política de la organización al momento de acceder.
  • Asegurar que más de un dispositivo esté configurado en modo “alta disponibilidad”.

Tomado de: https://www.escuelaeuropeaexcelencia.com

No hay comentarios.: