ISO 27001 Guest WiFi: A Compliance Primer

ISO 27001 Guest WiFi: Una guía de cumplimiento Podcast de información técnica de Purple — Guion del episodio Duración aproximada: 10 minutos | Voz: Inglés británico, tono de consultor senior --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) Bienvenido a la sesión de información técnica de Purple. Soy su anfitrión para el episodio de hoy, y nos sumergiremos en un tema que se encuentra en la intersección de las operaciones de red y la gobernanza de la seguridad de la información: el WiFi para invitados y el cumplimiento de la norma ISO 27001. Si usted es gerente de TI, arquitecto de redes o auditor líder de ISO 27001 en un grupo hotelero, una cadena de retail, un estadio o una organización del sector público, este episodio está diseñado para usted. No vamos a cubrir ISO 27001 desde cero; usted ya conoce la norma. Lo que haremos es ofrecerle un mapa preciso y práctico de cómo se integra su implementación de WiFi para invitados en su Sistema de Gestión de Seguridad de la Información, qué controles se aplican, qué debe documentar su evaluación de riesgos y, fundamentalmente, qué evidencia debe presentar cuando llegue el auditor. El WiFi para invitados es una de esas áreas que las organizaciones subestiman constantemente desde la perspectiva del cumplimiento. Parece un servicio básico: conectar algunos puntos de acceso, entregar una contraseña y listo. Pero desde el punto de vista de un SGSI, es un activo de información activo que afecta el límite de su red, sus relaciones con proveedores, sus obligaciones de protección de datos y su exposición legal. Analicemos eso detalladamente. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) Comencemos con el mapeo de controles. ISO 27001:2022 reestructuró sus controles del Anexo A, y varios de ellos se aplican directamente al WiFi para invitados. El grupo más crítico se encuentra en la sección de Controles Tecnológicos, que es la cláusula 8 del Anexo A. El Control A.8.22 — Segregación de redes — es su requisito fundamental. Este control exige que los grupos de servicios de información, usuarios y sistemas estén segregados en las redes. Para el WiFi para invitados, esto se traduce directamente en el aislamiento de VLAN. Su red de invitados debe estar separada de forma lógica y, cuando sea apropiado, física de su red corporativa, de su entorno de procesamiento de pagos y de cualquier segmento de IoT o tecnología operativa. Si un auditor descubre que el tráfico de invitados puede llegar a los recursos compartidos de archivos internos o a las interfaces de administración, se trata de una no conformidad clara con el control A.8.22. El Control A.8.20 — Seguridad de las redes — requiere que las redes se gestionen y controlen para proteger la información en los sistemas y aplicaciones. Para el WiFi para invitados, esto significa reglas de firewall documentadas, listas de control de acceso y una política de seguridad de red que aborde explícitamente el segmento de invitados. Debe poder mostrar al auditor un diagrama de red actual con la VLAN de invitados claramente etiquetada, así como el conjunto de reglas del firewall que rige a qué puede y a qué no puede acceder ese segmento. El Control A.8.21 — Seguridad de los Servicios de Red — aborda a los proveedores de servicios de red de terceros. La mayoría de las organizaciones que operan WiFi para invitados utilizan un proveedor de servicios gestionados, una plataforma de Captive Portal basada en la nube o una solución proporcionada por un ISP. Cada una de estas es una relación con un proveedor que debe ser gobernada. Se requieren acuerdos de nivel de servicio que incluyan requisitos de seguridad, así como evidencia de revisiones periódicas del proveedor. Aquí es donde las atestaciones SOC 2 Tipo II del proveedor se vuelven verdaderamente útiles; volveremos a eso más adelante. El Control A.8.15 — Registro de Eventos — requiere que los registros de eventos se produzcan, almacenen, protejan y analicen. Para el WiFi para invitados, esto significa registrar eventos de conexión, intentos de autenticación y datos de sesión. Ahora bien, existe una tensión aquí con el GDPR y los principios de minimización de datos, particularmente en el Reino Unido y la UE. Es necesario registrar lo suficiente para cumplir con las obligaciones de monitoreo de seguridad, pero no tanto como para retener datos personales más allá de lo necesario. Su política de registro de eventos debe abordar explícitamente el alcance del WiFi para invitados, definir los periodos de retención y documentar la base legal para cualquier dato personal capturado. El Control A.8.23 — Filtrado Web — requiere que se gestione el acceso a sitios web externos para proteger los sistemas contra infecciones de malware y evitar el acceso a recursos web no autorizados. Para el WiFi para invitados, esto normalmente significa implementar un filtrado basado en DNS o un proxy web en la nube que bloquee dominios maliciosos conocidos, infraestructura de comando y control y, según su sector, categorías de contenido inapropiado. Un operador de hotel que atiende a un público familiar tiene obligaciones de filtrado diferentes a las de un centro de conferencias que atiende a delegados empresariales, pero ambos necesitan una política documentada y evidencia de que el filtrado está activo y se revisa. Pasando a los Controles Organizacionales — Anexo A cláusula 5 — dos controles son particularmente relevantes. El Control A.5.14 — Transferencia de Información — rige las reglas, procedimientos y controles para la transferencia de información. Si los invitados utilizan su red para transferir archivos, acceder a servicios en la nube o realizar negocios, necesita una Política de Uso Aceptable que se les presente al momento de la autenticación — típicamente a través del Captive Portal — y que se acepte antes de que se conceda el acceso. Ese evento de aceptación debe registrarse como evidencia. El Control A.5.31 — Requisitos Legales, Estatutarios, Regulatorios y Contractuales — requiere que identifique y documente todas las obligaciones legales y regulatorias pertinentes. Para el WiFi para invitados, esto incluye el GDPR o el GDPR del Reino Unido si captura datos personales al autenticarse, la Ley de Poderes de Investigación (Investigatory Powers Act) si se encuentra en el Reino Unido y se le puede requerir que retenga datos de comunicaciones, y regulaciones específicas del sector como PCI DSS si su red de invitados está dentro del alcance de los datos de titulares de tarjetas. Ahora, la evaluación de riesgos. ISO 27001 es un estándar basado en riesgos, lo que significa que no puede simplemente implementar controles y darlo por terminado. Debe documentar una evaluación de riesgos formal para el activo de WiFi de invitados. Esa evaluación debe identificar amenazas: acceso no autorizado a sistemas internos, propagación de malware desde dispositivos de invitados, interceptación de datos en el medio inalámbrico, denegación de servicio y daño a la reputación por el uso indebido de su red. Para cada amenaza, evalúe la probabilidad y el impacto, determine su tratamiento de riesgos (ya sea mitigar, aceptar, transferir o evitar) y documente el riesgo residual. La Declaración de Aplicabilidad debe hacer referencia a la evaluación de riesgos de WiFi de invitados como la justificación para incluir o excluir controles específicos del Anexo A. Hablemos de WPA3 y los estándares de autenticación. Las generaciones de hardware WiFi IEEE 802.11ax y 802.11be son compatibles con WPA3, que proporciona Autenticación Simultánea de Iguales (SAE), reemplazando el antiguo protocolo de enlace de clave precompartida. Para una red de invitados donde se utiliza una frase de contraseña compartida, WPA3-Personal con SAE proporciona confidencialidad directa, lo que significa que incluso si la frase de contraseña se ve comprometida, el tráfico de sesiones históricas no se puede descifrar. Para implementaciones empresariales donde se desea autenticación por usuario, WPA3-Enterprise con IEEE 802.1X y EAP-TLS proporciona autenticación basada en certificados que se asigna directamente a los controles de gestión de identidad de ISO 27001. La elección entre estos dos modelos depende de su población de usuarios y de su tolerancia a la complejidad operativa. Ahora, las atestaciones SOC 2 de proveedores. Si utiliza una plataforma de WiFi de invitados gestionada en la nube (y la mayoría de las organizaciones lo hacen), el informe SOC 2 Tipo II de ese proveedor es una pieza crítica de su evidencia de garantía de proveedores. Un informe SOC 2 Tipo II cubre los Criterios de Servicios de Confianza: Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad, durante un período de auditoría que suele ser de seis a doce meses. Cuando está creando su archivo de garantía de proveedores ISO 27001, el informe SOC 2 Tipo II del proveedor, combinado con un cuestionario de seguridad del proveedor completado y un acuerdo de procesamiento de datos, le brinda un paquete de evidencia defendible para el control A.8.21. Purple, por ejemplo, cuenta con una alineación SOC 2 que respalda directamente este requisito de SGSI descendente, lo que significa que puede hacer referencia a su atestación en su propia evidencia de auditoría en lugar de realizar una evaluación de seguridad personalizada completa de la plataforma. --- SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) Permítame presentarle las cuatro decisiones de implementación en las que la mayoría de las organizaciones se equivocan. Primero: la desviación del alcance en la evaluación de riesgos. Las organizaciones suelen definir el alcance de la WiFi para invitados de manera demasiado estrecha (tratándola como fuera de alcance porque es solo para visitantes) o demasiado amplia, intentando aplicar todos los controles posibles sin importar su relevancia. El enfoque correcto es definirla como un activo de información que está dentro del alcance del SGSI, realizar una evaluación de riesgos proporcional y documentar la justificación de la selección de controles en la Declaración de Aplicabilidad. Segundo: segmentación de red inadecuada. He visto VLANs de invitados que técnicamente están separadas pero comparten una zona de firewall con sistemas internos, o donde la interfaz de administración del controlador inalámbrico es accesible desde el segmento de invitados. La segmentación debe verificarse con una prueba de penetración o, como mínimo, con una revisión de acceso a la red, y esa verificación debe documentarse como evidencia de auditoría. Tercero: ignorar el Captive Portal como mecanismo de control de acceso. El Captive Portal no es solo un ejercicio de branding. Es el punto en el que se presenta la Política de Uso Aceptable, se obtiene el consentimiento para el procesamiento de datos y se crea el registro de autenticación que sirve como evidencia para múltiples controles de ISO 27001. Si su Captive Portal no registra los eventos de aceptación con marcas de tiempo e identificadores de sesión, tiene una brecha que un auditor encontrará. Cuarto: tratar la garantía de proveedores como un ejercicio de una sola vez. Los informes SOC 2 expiran. Los contratos de ISP cambian. Los términos de servicio de las plataformas SaaS en la nube se actualizan. Su programa de garantía de proveedores debe incluir una revisión anual de las atestaciones de seguridad de los proveedores, y esa revisión debe documentarse. Programe un recordatorio en el calendario para cuando finalice el periodo del informe SOC 2 de cada proveedor y solicite el informe actualizado de manera proactiva. Sobre la cuestión de los tiempos de espera de sesión: ISO 27001 no prescribe valores específicos de tiempo de espera, pero su evaluación de riesgos debe documentar la justificación de cualquier valor que elija. Un tiempo de espera de sesión de ocho horas es común en la industria de la hospitalidad, pero un centro de conferencias que organiza un evento de un día podría establecer un tiempo de espera más corto para garantizar que las credenciales no se compartan entre los asistentes. El principio clave es que la política de tiempo de espera esté documentada, justificada por el riesgo e implementada de manera consistente. La plataforma de Purple, por ejemplo, le permite configurar y aplicar políticas de tiempo de espera de sesión de forma centralizada, con el estado de configuración exportable como evidencia de auditoría. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) Permítanme repasar las preguntas que recibo con más frecuencia de los gerentes de TI que se preparan para la certificación ISO 27001. ¿La WiFi para invitados tiene que estar dentro del alcance de nuestro SGSI? Si procesa, almacena o transmite información que entra dentro del alcance de su SGSI, sí. Si los invitados se autentican utilizando cualquier dato personal, o si la red se conecta a cualquier sistema que esté dentro del alcance, debe incluirse. ¿Podemos excluir el WiFi de invitados de la Declaración de Aplicabilidad? Puede excluir controles, pero debe documentar la justificación. Excluir el control A.8.22 Segregación de Redes para una implementación de WiFi de invitados requeriría un argumento muy convincente que es poco probable que el auditor acepte. ¿Cuál es el paquete de evidencia mínimo viable para una auditoría de WiFi de invitados? Un diagrama de red que muestre la segregación de VLAN, el conjunto de reglas del firewall, la configuración del Captive Portal con el texto de la política de uso aceptable, una muestra del registro de autenticación, la entrada en la evaluación de riesgos y el informe SOC 2 del proveedor o un documento de garantía equivalente. ¿Cómo interactúa el GDPR con ISO 27001 para el WiFi de invitados? El GDPR es un requisito legal que alimenta el control A.5.31. Su aviso de privacidad, el acuerdo de procesamiento de datos con su proveedor de la plataforma de WiFi y la política de retención de datos son elementos de evidencia de ISO 27001, así como artefactos de cumplimiento del GDPR. Cumplen una doble función. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) Para resumir: el WiFi de invitados no es una preocupación periférica para su ISMS; es un límite de red activo con una exposición al riesgo real y un conjunto claro de controles aplicables de ISO 27001:2022. Los controles que más importan son el A.8.22 para la segregación de redes, el A.8.20 para la gestión de la seguridad de las redes, el A.8.21 para la garantía de proveedores, el A.8.15 para el registro de eventos, el A.8.23 para el filtrado web, el A.5.14 para el uso aceptable y el A.5.31 para el cumplimiento legal. Sus próximos pasos inmediatos: primero, confirme que el WiFi de invitados esté incluido explícitamente en la declaración de alcance de su ISMS. Segundo, agregue una entrada de WiFi de invitados a su registro de riesgos con las amenazas, probabilidad, impacto y decisiones de tratamiento documentadas. Tercero, cree su paquete de evidencia: diagrama de red, reglas de firewall, configuración del Captive Portal, política de registro de eventos e informe SOC 2 del proveedor. Cuarto, programe una revisión anual de garantía de proveedores para su proveedor de la plataforma de WiFi. Si está implementando o actualizando su infraestructura de WiFi de invitados, la plataforma de Purple está diseñada teniendo en cuenta estos requisitos de cumplimiento: alineada con SOC 2, con gestión de políticas centralizada y evidencia de configuración exportable que alimenta directamente la documentación de su ISMS. Gracias por acompañarnos en el Informe Técnico de Purple. Para obtener la guía escrita completa, los diagramas de arquitectura y los ejemplos prácticos, visite el centro de recursos de Purple. Hasta la próxima.