ISO 27001 Guest WiFi: una guía de cumplimiento

ISO 27001 Guest WiFi: Guía de conformidad Podcast Purple Technical Briefing — Guion del episodio Duración aproximada: 10 minutos | Voz: Inglés británico, tono de consultor sénior --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) Le damos la bienvenida a Purple Technical Briefing. Soy su anfitrión en el episodio de hoy, en el que analizaremos en profundidad un tema que se encuentra en la intersección entre las operaciones de red y la gobernanza de la seguridad de la información: el WiFi para invitados y la conformidad con la norma ISO 27001. Si usted es responsable de TI, arquitecto de redes o auditor líder de la norma ISO 27001 en un grupo hotelero, una cadena de tiendas de distribución, un estadio o una organización del sector público, este episodio se ha diseñado especialmente para usted. No vamos a explicar la norma ISO 27001 desde cero: ya conoce el estándar. Lo que sí haremos es proporcionarle un mapa preciso y práctico sobre cómo encaja su despliegue de WiFi para invitados en su Sistema de Gestión de la Seguridad de la Información (SGSI), qué controles se aplican, qué debe documentar su evaluación de riesgos y, lo que es más importante, qué pruebas debe presentar cuando llegue el auditor. El WiFi para invitados es una de esas áreas que las organizaciones suelen subestimar desde la perspectiva del cumplimiento normativo. Parece un servicio básico: conectar unos cuantos puntos de acceso, dar una contraseña y listo. Sin embargo, desde el punto de vista de un SGSI, es un activo de información activo que afecta al límite de su red, a sus relaciones con proveedores, a sus obligaciones de protección de datos y a su exposición jurídica. Vamos a desglosar todo esto detalladamente. --- SEGMENTO 2: ANÁLISIS TÉCNICO EN PROFUNDIDAD (aprox. 5 minutos) Comencemos con el mapeo de controles. La norma ISO 27001:2022 reestructuró sus controles del Anexo A, y varios de ellos se aplican directamente al WiFi para invitados. El grupo más crítico se encuentra en la sección de Controles Tecnológicos: el apartado A.8 del Anexo A. El control A.8.22 (Segregación de redes) es su requisito fundamental. Este control exige que los grupos de servicios de información, usuarios y sistemas estén segregados en las redes. En el caso del WiFi para invitados, esto se traduce directamente en el aislamiento de VLAN. Su red de invitados debe estar separada de forma lógica y, cuando proceda, física de su red corporativa, de su entorno de procesamiento de pagos y de cualquier segmento de IoT o tecnología operativa. Si un auditor descubre que el tráfico de invitados puede acceder a recursos compartidos de archivos internos o interfaces de gestión, se tratará de una clara no conformidad con el control A.8.22. El control A.8.20 (Seguridad en las redes) exige que las redes se gestionen y controlen para proteger la información en los sistemas y aplicaciones. En el caso del WiFi para invitados, esto implica contar con reglas de cortafuegos documentadas, listas de control de acceso y una política de seguridad de red que aborde explícitamente el segmento de invitados. Debe ser capaz de mostrar al auditor un diagrama de red actual con la VLAN de invitados claramente etiquetada, así como el conjunto de reglas de cortafuegos que rigen a qué puede y no puede acceder ese segmento. El Control A.8.21 — Seguridad de los servicios de red — se dirige a los proveedores externos de servicios de red. La mayoría de las organizaciones que ofrecen WiFi para invitados utilizan un proveedor de servicios gestionados, una plataforma de Captive Portal basada en la nube o una solución proporcionada por un ISP. Cada una de estas opciones representa una relación con un proveedor que debe ser gobernada. Es necesario contar con acuerdos de nivel de servicio que incluyan requisitos de seguridad, así como pruebas de revisiones periódicas del proveedor. Aquí es donde las atestaciones SOC 2 Tipo II del proveedor resultan realmente útiles; volveremos a esto más adelante. El Control A.8.15 — Registro de eventos — exige que los registros de eventos se produzcan, almacenen, protejan y analicen. Para el WiFi de invitados, esto significa registrar eventos de conexión, intentos de autenticación y datos de sesión. Ahora bien, existe una tensión entre esto y el GDPR junto con los principios de minimización de datos, especialmente en el Reino Unido y la UE. Debe registrar lo suficiente para cumplir con sus obligaciones de supervisión de seguridad, pero no tanto como para retener datos personales más allá de lo estrictamente necesario. Su política de registro de eventos debe abordar explícitamente el alcance del WiFi de invitados, definir los periodos de retención y documentar la base legal para cualquier dato personal capturado. El Control A.8.23 — Filtrado web — exige que se gestione el acceso a sitios web externos para proteger los sistemas de infecciones por malware y evitar el acceso a recursos web no autorizados. Para el WiFi de invitados, esto suele significar la implementación de un filtrado basado en DNS o un proxy web en la nube que bloquee dominios maliciosos conocidos, infraestructura de comando y control y, según su sector, categorías de contenido inapropiado. Un operador hotelero que se dirige a un público familiar tiene obligaciones de filtrado diferentes a las de un centro de conferencias que atiende a delegados de empresas, pero ambos necesitan una política documentada y pruebas de que el filtrado está activo y se revisa. Pasando a los Controles Organizativos — Anexo A cláusula 5 —, dos controles son especialmente relevantes. El Control A.5.14 — Transferencia de información — regula las normas, procedimientos y controles para la transferencia de información. Si los invitados utilizan su red para transferir archivos, acceder a servicios en la nube o realizar negocios, necesita una Política de Uso Aceptable que se les presente en el momento de la autenticación —normalmente a través del Captive Portal— y que se acepte antes de conceder el acceso. Ese evento de aceptación debe registrarse como prueba. El Control A.5.31 — Requisitos legales, estatutarios, reglamentarios y contractuales — exige que identifique y documente todas las obligaciones legales y reglamentarias pertinentes. Para el WiFi de invitados, esto incluye el GDPR o el GDPR del Reino Unido si captura algún dato personal durante la autenticación, la Ley de Poderes de Investigación (Investigatory Powers Act) si se encuentra en el Reino Unido y se le puede exigir que retenga datos de comunicaciones, y normativas específicas del sector como PCI DSS si su red de invitados entra dentro del alcance de los datos de titulares de tarjetas. Ahora, la evaluación de riesgos. ISO 27001 es una norma basada en el riesgo, lo que significa que no se pueden implementar controles sin más y dar el trabajo por terminado. Es necesario documentar una evaluación de riesgos formal para el activo de WiFi de invitados. Esa evaluación debe identificar las amenazas: acceso no autorizado a sistemas internos, propagación de malware desde dispositivos de invitados, interceptación de datos en el medio inalámbrico, denegación de servicio y daños a la reputación por el uso indebido de su red. Para cada amenaza, se evalúa la probabilidad y el impacto, se determina el tratamiento del riesgo (ya sea mitigar, aceptar, transferir o evitar) y se documenta el riesgo residual. La Declaración de aplicabilidad debe hacer referencia a la evaluación de riesgos del WiFi de invitados como justificación para incluir o excluir controles específicos del Anexo A. Hablemos de WPA3 y de las normas de autenticación. Las generaciones de hardware WiFi IEEE 802.11ax y 802.11be son compatibles con WPA3, que proporciona autenticación simultánea de iguales (SAE), sustituyendo al antiguo saludo de clave precompartida. Para una red de invitados en la que se utiliza una frase de contraseña compartida, WPA3-Personal con SAE proporciona seguridad hacia adelante, lo que significa que incluso si la frase de contraseña se ve comprometida, el tráfico de sesiones históricas no se puede descifrar. Para implementaciones empresariales en las que se desea una autenticación por usuario, WPA3-Enterprise con IEEE 802.1X y EAP-TLS proporciona una autenticación basada en certificados que se asigna directamente a los controles de gestión de identidades de ISO 27001. La elección entre estos dos modelos depende de su población de usuarios y de su tolerancia a la complejidad operativa. Ahora, las acreditaciones SOC 2 de los proveedores. Si utiliza una plataforma de WiFi de invitados gestionada en la nube (y la mayoría de las organizaciones lo hacen), el informe SOC 2 Tipo II de ese proveedor es una pieza fundamental de sus pruebas de garantía de proveedores. Un informe SOC 2 Tipo II cubre los Criterios de servicios de confianza: Seguridad, Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad, durante un período de auditoría que suele ser de seis a doce meses. Cuando está elaborando su archivo de garantía de proveedores de ISO 27001, el informe SOC 2 Tipo II del proveedor, combinado con un cuestionario de seguridad del proveedor completado y un acuerdo de procesamiento de datos, le proporciona un paquete de pruebas defendible para el control A.8.21. Purple, por ejemplo, cuenta con una alineación con SOC 2 que respalda directamente este requisito posterior del SGSI, lo que significa que puede hacer referencia a su acreditación en sus propias pruebas de auditoría en lugar de realizar una evaluación de seguridad completa y a medida de la plataforma. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approx. 2 minutes) Permítame indicarle las cuatro decisiones de implementación en las que la mayoría de las organizaciones se equivocan. Primero: el desvío del alcance en la evaluación de riesgos. Las organizaciones definen el alcance de la Wi-Fi de invitados de manera demasiado estrecha (considerándola fuera del alcance porque es solo para visitantes) o demasiado amplia (intentando aplicar todos los controles posibles independientemente de su relevancia). El enfoque correcto es definirla como un activo de información que está dentro del alcance del SGSI, realizar una evaluación de riesgos proporcionada y documentar la justificación de la selección de controles en la Declaración de Aplicabilidad. Segundo: una segmentación de red inadecuada. He visto VLAN de invitados que están técnicamente separadas pero comparten una zona de firewall con los sistemas internos, o donde la interfaz de gestión del controlador inalámbrico es accesible desde el segmento de invitados. La segmentación debe verificarse con una prueba de penetración o, como mínimo, con una revisión de acceso a la red, y esa verificación debe documentarse como evidencia de auditoría. Tercero: ignorar el Captive Portal como mecanismo de control de acceso. El Captive Portal no es solo un ejercicio de marca. Es el punto en el que se presenta la Política de Uso Aceptable, se obtiene el consentimiento para el tratamiento de datos y se crea el registro de autenticación que sirve como evidencia para múltiples controles de la norma ISO 27001. Si su Captive Portal no registra los eventos de aceptación con marcas de tiempo e identificadores de sesión, tiene una brecha que un auditor encontrará. Cuarto: tratar la garantía de los proveedores como un ejercicio de una sola vez. Los informes SOC 2 caducan. Los contratos con ISP cambian. Las condiciones del servicio de las plataformas en la nube se actualizan. Su programa de garantía de proveedores debe incluir una revisión anual de las certificaciones de seguridad de los proveedores, y esa revisión debe documentarse. Programe un recordatorio en el calendario para cuando finalice el periodo del informe SOC 2 de cada proveedor y solicite el informe actualizado de forma proactiva. Sobre la cuestión de los tiempos de espera de sesión: ISO 27001 no prescribe valores específicos de tiempo de espera, pero su evaluación de riesgos debe documentar la justificación de cualquier valor que elija. Un tiempo de espera de sesión de ocho horas es habitual en el sector de la hostelería, pero un centro de conferencias que organice un evento de un día de duración podría establecer un tiempo de espera más corto para garantizar que las credenciales no se compartan entre los asistentes. El principio clave es que la política de tiempo de espera esté documentada, justificada por el riesgo y aplicada de forma coherente. La plataforma de Purple, por ejemplo, le permite configurar y aplicar políticas de tiempo de espera de sesión de forma centralizada, y el estado de la configuración se puede exportar como evidencia de auditoría. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) Permítame repasar las preguntas que recibo con más frecuencia de los responsables de TI que se preparan para la certificación ISO 27001. ¿Debe estar la Wi-Fi de invitados dentro del alcance de nuestro SGSI? Si procesa, almacena o transmite información que entra dentro del alcance de su SGSI, sí. Si los invitados se autentican utilizando cualquier dato personal, o si la red se conecta a cualquier sistema que esté dentro del alcance, debe incluirse. ¿Podemos excluir la WiFi de invitados de la Declaración de Aplicabilidad? Puede excluir controles, pero debe documentar la justificación. Excluir el control A.8.22 (Segregación de redes) para un despliegue de WiFi de invitados requeriría un argumento muy convincente que el auditor difícilmente aceptará. ¿Cuál es el paquete de evidencias mínimo viable para una auditoría de WiFi de invitados? Un diagrama de red que muestre la segregación de VLAN, el conjunto de reglas del firewall, la configuración del Captive Portal con el texto de la política de uso aceptable, una muestra del registro de autenticación, la entrada en la evaluación de riesgos y el informe SOC 2 del proveedor o un documento de garantía equivalente. ¿Cómo interactúa el GDPR con la norma ISO 27001 en el caso de la WiFi de invitados? El GDPR es un requisito legal que se integra en el control A.5.31. Su aviso de privacidad, el acuerdo de procesamiento de datos con su proveedor de la plataforma WiFi y la política de retención de datos son elementos de evidencia para la norma ISO 27001, así como artefactos de conformidad con el GDPR. Cumplen una doble función. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) En resumen: la WiFi de invitados no es un asunto secundario para su ISMS, sino un límite de red activo con una exposición al riesgo real y un conjunto claro de controles aplicables de la norma ISO 27001:2022. Los controles más importantes son el A.8.22 para la segregación de redes, el A.8.20 para la gestión de la seguridad de las redes, el A.8.21 para la garantía de proveedores, el A.8.15 para el registro de eventos, el A.8.23 para el filtrado web, el A.5.14 para el uso aceptable y el A.5.31 para el cumplimiento legal. Sus próximos pasos inmediatos: primero, confirme que la WiFi de invitados está explícitamente incluida en el alcance de su ISMS. Segundo, añada una entrada para la WiFi de invitados en su registro de riesgos con las amenazas documentadas, la probabilidad, el impacto y las decisiones de tratamiento. Tercero, elabore su paquete de evidencias: diagrama de red, reglas del firewall, configuración del Captive Portal, política de registro de eventos e informe SOC 2 del proveedor. Cuarto, programe una revisión anual de garantía de proveedores para su proveedor de la plataforma WiFi. Si está desplegando o actualizando su infraestructura de WiFi de invitados, la plataforma de Purple está diseñada teniendo en cuenta estos requisitos de conformidad: alineada con SOC 2, con gestión centralizada de políticas y evidencias de configuración exportables que se integran directamente en la documentación de su ISMS. Gracias por asistir al Informe Técnico de Purple. Para consultar la guía escrita completa, los diagramas de arquitectura y los ejemplos prácticos, visite el centro de recursos de Purple. Hasta la próxima.