La Información en El Teletrabajo - Checklist de Ciberamenazas

9/4/24, 16:55 ¿Cómo proteger la información en el teletrabajo?
: Checklist de ciberamenazas
 
DONDE SE FORMAN LOS PROFESIONALES DE LOS SISTEMAS DE GESTIÓN CAMPUS VIRTUAL ZONA ALUMNI
 0
Cursos  Diplomados  Software Eventos Blog Escuela 
VOLVER AL BLOG
¿Cómo proteger la
Becas Contacto
Escuela Europea de Excelencia
ZONA ALUMNI
CAMPUS VIRTUAL
información en el
Club Alumni
Expertos Docentes
teletrabajo?: Checklist de Alumnos Excelentes
ciberamenazas Plan Amigo
Newsletter
 21 octubre, 2020 Artículos Técnicos, Destacado, Seguridad de la
información

Inicio ¿Cómo proteger la información en el teletrabajo?: Checklist de ciberamenazas
Buscar... 
Proteger la información en el teletrabajo es el desafío
que afrontan los profesionales en el área de seguridad
de la información, especialmente durante esta nueva
normalidad. La transición al entorno de trabajo desde
Categorías
casa ha provocado un aumento de los ciberataques a las
organizaciones, lo que exige respuestas eficaces.
Artículos Técnicos
Son muchas las acciones que se pueden tomar para

proteger la información en el teletrabajo. De hecho,
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/¿Cómo proteger la información en el teletrabajo__ Checklist de ciberamenazas.… 1/15
9/4/24, 16:55 ¿Cómo proteger la información en el teletrabajo?: Checklist de ciberamenazas
aunque ISO 27001 fue publicada mucho antes de Balanced

conocer las condiciones a las que nos enfrentaría la Scorecard
emergencia sanitaria, ya prevé requisitos y controles
Calidad
útiles para este propósito.
Capacitación
Directiva
Descargue GRATIS el e-book: Claves para la
transición de ISO/IEC 27001:2013 a la ISO/IEC Destacado
27001:2022
Excelentes
Formación
En base a este estándar de seguridad de la información,
ofrecemos la siguiente checklist para proteger la Gestión de
información en el teletrabajo, que esperamos sea de Proyectos
gran utilidad para la inmensa mayoría de organizaciones

Gestión de
que hoy cuentan con trabajadores bajo esta modalidad. Riesgos
Checklist para proteger la

Gestión
Estratégica
información en el Medio Ambiente

teletrabajo Riesgos y
Seguridad
A medida que intentamos ajustar la política de TI para
proteger la información en el teletrabajo, debemos estar Seguridad de la
muy atentos, ya que son muchos los protocolos de información
seguridad que son comunes en la oficina, pero

Seguridad y
desconocidos para los usuarios domésticos. Salud en el
Trabajo
Aquí, una lista de verificación, basada en los requisitos
Sin categoría
de ISO 27001 y su anexo de controles, para asegurar el
entorno de trabajo doméstico: Sistemas de
Gestión
Amenaza 1: acceso indebido a activos y datos.
Vulnerabilidad: almacenamiento no adecuado.
Explicación del riesgo: es posible que personas no
autorizadas accedan con facilidad a los equipos y
accesorios físicos fuera de la oficina.
Artículos
nuevos
Acción para tratar el riesgo: utilizar archivadores
con cerraduras y contraseñas seguras, para
dificultar el acceso de personas no autorizadas.
Control de ISO 27001: A.11.2.6 – Seguridad de A

p
equipos y activos fuera de las instalaciones.
fo
Explicación del control: el trabajo desde casa co
implica asegurar la integridad y la confidencialidad el
cu
de la información. Para esto, es preciso que los IS
equipos físicos siempre estén seguros. 45
Amenaza 2: robo de activos o de datos. Im
de
Vulnerabilidad: acceso libre al área de trabajo. ...
Explicación del riesgo: un espacio de trabajo 11
donde todos pueden transitar con libertad, m
aumenta la posibilidad de que los dispositivos sean 20
robados.
Acción para tratar el riesgo: adecuar una P
habitación exclusiva para el teletrabajo, con una la
in
puerta con cerradura. de
Control de ISO 27001: A.11.1.1. – Perímetro de si
IS
seguridad física. Controles de entrada física.
4
Explicación del control: un espacio exclusivo para as
el teletrabajo no solo permite al trabajador im
q
concentrarse en sus tareas, sino que aumenta el ...
nivel de protección de la información y de los 9
equipos físicos.
m
Amenaza 3: divulgación de información.
20
Vulnerabilidad: exposición visible de la
información. 10
Explicación del riesgo: la información que aparece fo
de
en la pantalla, o sobre el lugar de trabajo, puede ob
ser vista por cualquier persona no autorizada. la
Acción para tratar el riesgo: bloquear el acceso a ce
de
la información, cuando no se esté trabajando. se
Control de ISO 27001: A.11.2.9 – Política de de
escritorio despejado y pantalla bloqueada. la
...
Explicación del control: debido a que se trabaja en
4
un espacio vulnerable, es preciso adoptar prácticas
m
fáciles de implementar para bloquear el acceso a la
20
información y reducir así el riesgo de violaciones de
seguridad.
Amenaza 4: acceso indebido a la información.
Vulnerabilidad: datos almacenados como texto sin

formato.
Explicación del riesgo: es posible acceder con
facilidad a los datos almacenados como texto sin
formato, cuando los equipos están desprotegidos.
Acción para tratar el riesgo: proteger la Becas
información con cifrado.
Control de ISO 27001: A.9.4.1. – Restricción de
Excellence
para
acceso a la información. Política sobre el uso de diplomados
controles criptográficos.
Explicación del control: el teletrabajo facilita el Ahorra
acceso de cualquier persona a la información, por
lo que es preciso cifrar y encriptar, para protegerla.
hasta
Amenaza 5: pérdida de datos en medios físicos y un 50%
electrónicos.
Vulnerabilidad: copia única de datos en el
MÁS
dispositivo de teletrabajo. INFORMACIÓN
Explicación del riesgo: los datos son
irrecuperables cuando la única copia se destruye,
se extravía o se corrompe.
Acción para tratar el riesgo: hacer copias de los
datos y almacenarlas en servidores corporativos.
Control de ISO 27001: A.12.3.1 – Copia de
seguridad.
Explicación del control: el daño potencial
ocasionado por la pérdida de datos para la
organización puede impactar económica y
legalmente, y también afectar a la reputación. Esto
se puede prevenir asegurando que se elaboren
copias de seguridad en periodos de tiempo
establecidos, y que estas se almacenen en lugares
seguros, lejos de los originales.
Amenaza 6: actividades no autorizadas en sistemas
de información.
Vulnerabilidad: activo no supervisado o vigilado.
Explicación del riesgo: uso indebido de la
información y de los recursos físicos, o violación de
leyes y contratos, pueden pasar desapercibidos

durante mucho tiempo.
Acción para tratar el riesgo: mantener registros
del uso de los equipos y revisarlos de forma
periódica.
Control de ISO 27001: A.12.4.1 – Registro de
eventos.
Explicación del control: si ocurre un incidente o
evento, los registros ayudarán a determinar lo que
sucedió. También sirven para analizar tendencias y
detectar actividad fraudulenta antes de que
ocurran incidentes graves.
Amenaza 7: acceso no autorizado a sistemas de
información.
Vulnerabilidad: uso de contraseñas débiles.
Explicación del riesgo: las fugas de información, la
desaparición o corrupción de los datos y el fraude
pueden ser más fáciles de lograr si los usuarios
utilizan contraseñas fáciles de deducir.
Acción para tratar el riesgo: hacer cumplir el uso
de contraseñas seguras por parte de los
empleados.
Control de ISO 27001: A.9.4.3. – Sistema de gestión
de contraseñas.
Explicación del control: Las normas adoptadas
por el área de TI pueden hacer que las contraseñas
de los usuarios sean difíciles de deducir, para
proteger la información en el teletrabajo.
Amenaza 8: acceso no autorizado a los sistemas de
información con contraseña.
Vulnerabilidad: contraseñas comprometidas.
Explicación del riesgo: es posible que se
presenten filtraciones de información, destrucción
de datos o fraude mediante el uso de contraseñas
que han sido de algún modo expuestas.
Acción para tratar el riesgo: adoptar autenticación
de dos pasos para el acceso a los sistemas.
Control de ISO 27001: A9.4.2. – Procedimientos de

inicio de sesión seguros.
Explicación del control: al usar la autenticación de
dos o más pasos, se crea una barrera adicional de
protección. Si la contraseña ha sido comprometida,
esta será inútil sin la información necesaria para el
segundo paso.
Amenaza 9: acceso no autorizado a los sistemas de
información por entorno compartido.
Vulnerabilidad: acceso compartido para múltiples
usuarios.
Explicación del riesgo: los usuarios con niveles de
seguridad bajos, tienen acceso a la misma
información que solo tendría que ser accesible para
usuarios con niveles de seguridad altos.
Acción para tratar el riesgo: implementar perfiles
de acceso.
Control de ISO 27001: A.9.2.2 – Aprovisionamiento
de acceso de usuarios.
Explicación del control: la definición de perfiles de
acceso, según los sistemas y la información a la que
se accede, disminuye el riesgo de que esta se vea
comprometida en dispositivos o entornos
compartidos.
Amenaza 10: información interceptada en el canal de
comunicación.
Vulnerabilidad: uso de redes púbicas o de
propiedad del empleado.
Explicación del riesgo: es posible acceder a los
datos transmitidos en texto sin formato cuando el
canal está comprometido.
Acción para tratar el riesgo: implementar redes
privadas virtuales (VPN).
Control de ISO 27001: A.13.1.1 – Controles de red.
Explicación del control: al proteger los canales de
comunicación con cifrado y aceptar solo
conexiones seguras autorizadas, es posible
aumentar los niveles de seguridad de la

información.
Amenaza 11: acceso a la red no autorizado.
Vulnerabilidad: dominio de red único.
Explicación del riesgo: todos los equipos y activos
puede comprometerse si se presenta un ataque a la
red.
Acción para tratar el riesgo: separe equipos y
activos en redes pequeñas con acceso controlado
entre ellos.
Control de ISO 27001: A.13.1.3 – Segregación en
redes.
Explicación del control: las redes segregadas
minimizan los activos a los que se puede acceder si
se produce una violación de seguridad.
Amenaza 12: Malware (Software malicioso).
Vulnerabilidad: Software defectuoso o
desactualizado.
Explicación del riesgo: el malware o software
malintencionado pretende explotar fallas en el
diseño de un programa o en las deficiencias en su
implementación para, así, comprometer la
información.
Acción para tratar el riesgo: instalar software anti-
malware, para detectar y eliminar software
malicioso.
Control de ISO 27001: A.12.2.1 – Controles contra
malware.
Explicación del control: el antivirus y el antispam
son herramientas eficaces para minimizar el riesgo
de explotación de software defectuoso,
identificando este tipo de malware antes de que
puedan ocasionar daño.
Amenaza 13: software malicioso moderno.
Vulnerabilidad: hardware o software obsoletos.
Explicación del riesgo: el hardware o el software
ya no tienen la capacidad de repeler técnicas de
ataque modernas.
Acción para tratar el riesgo: supervisar a

fabricantes y a comunidades especiales para
identificar hardware y software obsoletos y nuevas
técnicas de ataque.
Control de ISO 27001: A.12.6.1 – Gestión de
vulnerabilidades técnicas.
Explicación del control: cuanto antes se puedan
identificar equipos y software obsoletos en la
organización, de más tiempo se dispondrá para
diseñar planes para tratar este tipo de situaciones.
Amenaza 14: software malicioso en equipo
desactualizado.
Vulnerabilidad: actualizaciones no instaladas.
Explicación del riesgo: las fallas en software que
no se corrigen a tiempo pueden ser utilizadas para
obtener acceso no autorizado y comprometer la
información.
Acción para tratar el riesgo: implementar un
procedimiento para implementar con prontitud las
actualizaciones.
Control de ISO 27001: A.12.1.2 – Gestión de
cambios.
Explicación del control: las actualizaciones deben
implementase con rapidez y de manera controlada
para proteger la información en el teletrabajo.
Amenaza 15: software malicioso con problemas de
configuración.
Vulnerabilidad: usuarios con derechos de
administrador completos.
Explicación del riesgo: la configuración incorrecta
del software instalado por los usuarios, permite
aprovecharse de ello para obtener acceso no
autorizado y comprometer la información.
Acción para tratar el riesgo: implementar
restricciones a la instalación de software.
Control de ISO 27001: A.12.6.2 – Restricciones a la
instalación de software.
Explicación del control: al tratar la instalación de

software de forma correcta, una organización
disminuye los riesgos relacionados con códigos
maliciosos o errores de usuario.
Amenaza 16: interrupción en la infraestructura de la
organización.
Vulnerabilidad: no existe proveedor alternativo.
Explicación del riesgo: los servicios de
información no se pueden reanudar cuando
dependen de un solo proveedor.
Acción para tratar el riesgo: contar con un
proveedor alternativo que no sea susceptible al
mismo incidente en el mismo momento.
Control de ISO 27001: A.17.1.2. – Implementación
de la continuidad de la seguridad de la
información.
Explicación del control: los incidentes ocurrirán
sin importar si estamos preparados o no. Por esto,
se necesita contar con planes alternativos para
garantizar la continuidad de la operación y
disminuir el impacto de la interrupción.
Amenaza 17: uso inadecuado de los recursos de la
organización.
Vulnerabilidad: no existen normas definidas para
el teletrabajo.
Explicación del riesgo: el uso inadecuado de la
organización y de los recursos ocurre porque los
empleados no saben cómo proceder cuando
trabajan desde casa.
Acción para tratar el riesgo: establecer reglas
claras para los empleados que trabajan desde casa.
Control de ISO 27001: A.6.2.2. – Política de
teletrabajo.
Explicación del control: las normas claras sobre el
teletrabajo ayudan a organizar y prevenir el mal
uso de los recursos asignados a esta actividad.
Amenaza 18: incumplimiento de legislación o
acuerdos contractuales relativos al teletrabajo.

trabajar desde casa.
Explicación del riesgo: la violación de leyes y
contratos puede ocurrir porque no se conocen.
Acción para tratar el riesgo: identificar las leyes,
regulaciones y contratos relacionados con el
teletrabajo que debe cumplir la organización.
Control de ISO 27001: A.18.1.1. – Identificación de
la legislación aplicable y los requisitos
contractuales.
Explicación del control: al identificar los requisitos
legales específicos que la organización debe
cumplir, es posible optimizar los recursos
necesarios y minimizar el riesgo de transgredir los
requisitos.
Amenaza 19: uso inadecuado de acceso a recursos.
el teletrabajo.
Explicación de protegerse contra el riesgo: el uso
inadecuado de información y de los recursos,
puede ocurrir porque los empleados no saben
cómo acceder a los recursos cuando trabajan
desde casa.
Acción para tratar el riesgo: establecer reglas
claras para brindar acceso a la información y a los
sistemas para quienes trabajan desde casa.
Control de ISO 27001: A.9.1.1. – Política de control
de acceso.
Explicación del control: La definición de requisitos
para el establecimiento de perfiles de acceso
aumenta la efectividad de las acciones para
proteger la información en el teletrabajo.
Amenaza 20: gestión inadecuada de los recursos de la
organización.
el teletrabajo.
Explicación de protegerse contra el riesgo: la
gestión inadecuada de la infraestructura
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/¿Cómo proteger la información en el teletrabajo__ Checklist de ciberamenaza… 10/15
relacionada con el teletrabajo ocurre porque el

personal de TI no sabe cómo operar y gestionar los
servicios relacionados con el trabajo desde casa de
sus compañeros.
Acción para tratar el riesgo: mantener
información documentada sobre cómo realizar
actividades críticas relacionadas con la
infraestructura que requiere el teletrabajo.
Control de ISO 27001: A.12.1.1 – Procedimientos
operativos documentados.
Explicación del control: más que proteger el
espacio del empleado en casa, la organización
necesita definir normas y reglas sobre cómo debe
proceder el personal de TI para garantizar la
protección, no solo de la información, sino también
de la infraestructura de la que depende.
Amenaza 21: ingeniería social.
Vulnerabilidad: Usuario inconsistente o no
capacitado.
Explicación de protegerse contra el riesgo: los
usuarios que trabajan desde casas pueden
convertirse en víctimas de esquemas basados en
correo electrónico e internet.
Acción para tratar el riesgo: ofrecer sesiones de
sensibilización y formación para empleados que
trabajarán desde casa.
Control de ISO 27001: A.7.2.2. – Sensibilización,
educación y formación en seguridad de la
información.
Explicación del control: finalmente, los
empleados que trabajan desde casa conforman la
última línea de defensa en la lucha por proteger la
información en el teletrabajo. Cuanto más
preparados estén para identificar y lidiar con
situaciones, eventos y riesgos de seguridad de la
información, mejor será su desempeño.
Precisamente, la formación adecuada es un punto

esencial cuando se persigue proteger la información de
modo seguro.
Proteger la información en el
#Teletrabajo es el reto que asumen
profesionales de la
#SeguridadInformación en la
nueva normalidad. Hoy, una
checklist para lograrlo.
CLIC PARA TUITEAR
Diplomado de Seguridad de
la Información ISO 27001
Proteger la información en el teletrabajo es solo uno de
los objetivos de un sistema de gestión de la seguridad de
la información. Esta, como uno de los activos más
sensibles, rentables y prioritarios de una organización,
necesita acciones efectivas que garanticen su
seguridad, integridad y confidencialidad.
El Diplomado de Seguridad de la Información ISO

27001 es un programa de formación de excelencia, que
enseña a los profesionales en el área los conocimientos,
las competencias y las habilidades necesarias para
implementar, mantener, mejorar y auditar un sistema
de gestión de seguridad en el trabajo basado en las
mejores prácticas reconocidas a nivel internacional.
Ya puedes formarte en esta importante área. Pero no

olvides antes verificar si puedes solicitar una de
nuestras Becas Excellence para diplomados.
Te recomendamos
12 ENERO, 2023 26 JULIO, 2021
Formación ISO 27001: por qué Guía práctica para la

es el camino correcto para implementación de lo
impulsar tu carrera profesional requisitos de ISO 2700
Artículos Técnicos, Destacado, Formación, Seguridad Artículos Técnicos, Destacado, Seg

de la información información
LEER MÁS LEER MÁS
NEWSLETTER
Suscríbete gratis y entérate de las novedades en

los sistemas de gestión ISO
Suscríbete a la newsletter y recibe semanalmente, además de artículos de
interés sobre los sistemas de gestión ISO, descuentos especiales en
nuestros cursos.
Escribe tu nombre
Escribe tus apellidos
Escribe tu email
Selecciona tu país
He leído y acepto los términos de uso y doy consentimiento al tratamiento de mis datos para recibir la información
solicitada. Información básica de protección de datos
QUIERO SUSCRIBIRME Escribe tu nombre Escribe tus apellido
Escribe tu email Argentina
He leído y acepto los términos de uso y doy

consentimiento al tratamiento de mis datos para QUIERO SUSCRIBIRME
recibir la información solicitada. Información básica
de protección de datos
Escuela Áreas de Información

¿Quiénes somos? interés legal
Te animamos a
Expertos Docentes Cursos Condiciones de
que nos sigas en
Uso
nuestros perfiles Diplomados
Alumnos
sociales. Política de
Excelentes
Compartimos Eventos privacidad
diariamente Plan Amigo
Blog
contenido de Aviso legal
interés. Club Alumni
Contacto
Política de
Becas cookies
 
© 2023 ESCUELA EUROPEA DE EXCELENCIA.

La Información en El Teletrabajo - Checklist de Ciberamenazas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

La Información en El Teletrabajo - Checklist de Ciberamenazas

Cargado por

Copyright:

Formatos disponibles

9/4/24, 16:55 ¿Cómo proteger la información en el teletrabajo?

Cursos  Diplomados  Software Eventos Blog Escuela 

teletrabajo?: Checklist de Alumnos Excelentes

ciberamenazas Plan Amigo

Inicio ¿Cómo proteger la información en el teletrabajo?: Checklist de ciberamenazas

Son muchas las acciones que se pueden tomar para

aunque ISO 27001 fue publicada mucho antes de Balanced

gran utilidad para la inmensa mayoría de organizaciones

Checklist para proteger la

información en el Medio Ambiente

seguridad que son comunes en la oficina, pero

Control de ISO 27001: A.11.2.6 – Seguridad de A

Vulnerabilidad: datos almacenados como texto sin

leyes y contratos, pueden pasar desapercibidos

Control de ISO 27001: A9.4.2. – Procedimientos de

aumentar los niveles de seguridad de la

Acción para tratar el riesgo: supervisar a

Explicación del control: al tratar la instalación de

Vulnerabilidad: no existen normas definidas para

relacionada con el teletrabajo ocurre porque el

Precisamente, la formación adecuada es un punto

El Diplomado de Seguridad de la Información ISO

Ya puedes formarte en esta importante área. Pero no

12 ENERO, 2023 26 JULIO, 2021

Formación ISO 27001: por qué Guía práctica para la

Artículos Técnicos, Destacado, Formación, Seguridad Artículos Técnicos, Destacado, Seg

LEER MÁS LEER MÁS

Suscríbete gratis y entérate de las novedades en

Escribe tus apellidos

QUIERO SUSCRIBIRME Escribe tu nombre Escribe tus apellido

Escribe tu email Argentina

He leído y acepto los términos de uso y doy

Escuela Áreas de Información

© 2023 ESCUELA EUROPEA DE EXCELENCIA.

También podría gustarte