COMPUTACIÓN MÓVIL Y TRABAJO REMOTO

Objetivo: Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remotas.

La protección requerida debe ser proporcional a los riesgos que originan estas formas especificas de trabajo. Cuando se utiliza computación móvil deben tenerse en cuenta los riesgos que implica trabajar en un ambiente sin protección y se debe implementar la protección adecuada. En el caso del trabajo remoto la organización debe implementar la protección en el sitio de trabajo remoto (“teleworking site”) y garantizar que se tomen las medidas adecuadas para este tipo de trabajo.

9.8.1 Computación móvil

Cuando se utilizan dispositivos informáticas móviles, por ej. notebooks, palmtops, laptops y teléfonos móviles, se debe tener especial cuidado en garantizar que no se comprometa la información de la empresa. Se debe adoptar  una política formal que tome en cuenta los riesgos que implica trabajar con herramientas informáticas móviles, en particular en ambientes no protegidos. Por ejemplo, dicha política debe incluir los requerimientos de protección física, controles de acceso, técnicas criptográficas, resguardos y protección contra virus. Esta política también debe incluir reglas y asesoramiento en materia de conexión de dispositivos móviles a redes y orientación sobre uso de estos dispositivos en lugares públicos.

Se deben tomar recaudos al utilizar dispositivos informáticos móviles en lugares públicos, salas de reuniones y otras áreas no protegidas fuera de la sede de la organización. Se debe implementar protección para evitar el acceso no autorizado a la información almacenada y procesada por estas herramientas, o la divulgación de la misma, por ej. mediante técnicas criptográficas (ver 10.3).

Es importante que cuando dichos dispositivos, son utilizadas en lugares públicos se tomen recaudos para evitar el riesgo de que la información que aparece en pantalla, sea vista por personas no autorizadas. Se deben implementar procedimientos contra software malicioso y estos deben mantenerse actualizados (ver 8.3). El equipamiento debe estar disponible para permitir un procedimiento de resguardo de la información rápido y fácil.. Estos procedimientos deben estar adecuadamente protegidos contra, por ej., robo o pérdida de la información. Se debe brindar protección adecuada para el uso de dispositivos móviles conectadas a redes. El acceso remoto a la información de la empresa a través de redes publicas, utilizando herramientas informáticas móviles, solo debe tener lugar después de una identificación y autenticación exitosas, y con mecanismos adecuados de control de acceso implementados (ver 9.4).

Los dispositivos informáticas móviles también deben estar físicamente protegidas contra robo, especialmente cuando se dejan, por ej. en automóviles y otros medios de transporte, habitaciones de hotel, centros de conferencias y ámbitos de reunión. El equipamiento que transporta información importante de la empresa, sensible y/o critica no debe dejarse desatendido y, cuando resulta posible, debe estar físicamente resguardado bajo llave, o deben utilizarse cerraduras especiales para asegurar el equipamiento. En el punto 7.2.5 se puede encontrar información adicional sobre la protección física del equipamiento móvil.

Se debe brindar entrenamiento al personal que utiliza computación móvil para incrementar su cocimiento de los riesgos adicionales ocasionados por esta forma de trabajo y de los controles que se deben implementar.

9.8.2 Trabajo remoto

El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar fijo fuera de la organización. Se debe implementar la protección adecuada del sitio de trabajo remoto contra, por ej. el robo de equipamiento e información, la divulgación no autorizada de información, el acceso remoto no autorizada a los sistemas internos de la organización o el uso inadecuado de los dispositivos e instalaciones. Es importante que el trabajo remoto sea autorizado y controlado por la gerencia, y que se implementen disposiciones y acuerdos para esta forma de trabajo.

Las organizaciones deben considerar el desarrollo de una política, de procedimientos y de estándares para controlar las actividades de trabajo remoto.

Las organizaciones sólo deben autorizar actividades de trabajo remoto si han comprobado satisfactoriamente que se han implementado disposiciones y controles adecuados en materia de seguridad y que estos cumplen con la política de seguridad de la organización. Se deben considerar los siguientes ítems:

a) la seguridad física existente en el sitio de trabajo remoto, tomando en cuenta la seguridad física del edificio y del ambiente local;

b) el ambiente de trabajo remoto propuesto;

c) los requerimientos de seguridad de comunicaciones, tomando en cuenta la necesidad de acceso remoto a los sistemas internos de la organización, la sensibilidad de la información a la que se accederá y que pasará a través del vinculo de comunicación y la sensibilidad del sistema interno;

d) la amenaza de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ej. familia y amigos.

Los controles y disposiciones comprenden:

a) la provisión de mobiliario para almacenamiento y equipamiento, adecuado para las actividades de trabajo remoto;

b) una definición del trabajo permitido, el horario de trabajo, la clasificación de la información que se puede almacenar y los sistemas internos y servicio a los cuales el trabajador remoto esta autorizado a acceder; c) la provisión de un adecuado equipamiento de comunicación, con inclusión de métodos para asegurar el

acceso remoto; d) seguridad física;

e) reglas y orientación para cuando familiares y visitantes accedan al equipamiento e información; f) la provisión de hardware y el soporte y mantenimiento del software;

g) los procedimientos de back-up y para la continuidad de las operaciones; h) auditoría y monitoreo de la seguridad;

i) anulación de la autoridad, derechos de acceso y devolución del equipo cuando finalicen las actividades remotas.

10 DESARROLLO Y MANTENIMIENTO DE SISTEMAS.