02 Mar Control 5.10: Uso aceptable de la información y de los activos asociados en ISO 27001
La mayoría de los incidentes de seguridad no se producen por ataques sofisticados, sino por errores humanos, malas prácticas o desconocimiento. Precisamente por eso, el Control 5.10 de ISO/IEC 27001:2022 establece la necesidad de definir reglas claras sobre cómo deben utilizarse la información y los activos relacionados.
Este control busca establecer límites, responsabilidades y buenas prácticas para prevenir el uso inadecuado de recursos que podría comprometer la seguridad de la organización.
¿Qué exige el Control 5.10?
Para cumplir con este control, la organización debe:
-Definir normas de uso aceptable para la información.
-Establecer reglas para el uso de activos asociados (equipos, sistemas, dispositivos, etc.).
-Documentar estas normas.
-Comunicarlas adecuadamente al personal y a terceros.
-Asegurar que se aplican en la práctica.
No basta con redactar una política; debe estar implantada y ser conocida por quienes utilizan la información.
¿Qué se entiende por uso aceptable?
El uso aceptable implica que la información y los activos tecnológicos se utilicen exclusivamente para fines autorizados y de forma segura.
Las normas deben cubrir aspectos como:
-Uso de cuentas corporativas.
-Gestión segura de contraseñas.
-Protección de dispositivos.
-Tratamiento adecuado de datos sensibles.
-Restricciones sobre software no autorizado.
-Normas de escritorio limpio y bloqueo de pantalla.
-Gestión de soportes físicos y dispositivos externos.
El objetivo es evitar situaciones que puedan provocar incidentes por descuido, desconocimiento o comportamientos inapropiados.
El riesgo del Shadow IT
Uno de los grandes desafíos actuales es el llamado shadow IT: el uso de herramientas o servicios en la nube no autorizados por la organización.
Aunque a veces surgen por necesidades operativas reales, estas soluciones pueden generar importantes riesgos de seguridad y cumplimiento normativo.
Una política de uso aceptable debe dejar clara la postura de la organización y, además de establecer restricciones, ofrecer alternativas seguras y oficiales.
Formación y concienciación: claves del éxito
Muchas infracciones no son intencionadas. La falta de formación o de sensibilización puede llevar a errores que comprometan la seguridad.
Por ello, el Control 5.10 debe complementarse con:
-Formación periódica.
-Recordatorios sobre buenas prácticas.
-Comunicación clara de cambios en políticas.
-Procedimientos específicos para nuevos empleados.
La seguridad no depende únicamente de controles técnicos, sino también del comportamiento de las personas.
Aplicación en empresas de desarrollo de software
En organizaciones dedicadas al desarrollo tecnológico, este control cobra aún mayor importancia.
En soluciones SaaS
Cuando la empresa gestiona aplicaciones en la nube y datos de múltiples clientes, las reglas deben incluir:
-Uso de autenticación multifactor.
-Prohibición de compartir credenciales.
-Restricciones sobre la descarga de bases de datos.
-Gestión segura de entornos de desarrollo, pruebas y producción.
-Control del acceso a repositorios de código.
En este modelo, un error puede afectar simultáneamente a muchos clientes, por lo que la disciplina en el uso de activos es esencial.
En soluciones on-premise
Cuando el software se instala en infraestructuras del cliente, la política debe contemplar:
-Uso seguro de accesos remotos.
-Protección del código fuente.
-Manejo adecuado de dispositivos físicos.
-Control de herramientas administrativas.
En ambos modelos, la propiedad intelectual y la información sensible deben estar especialmente protegidas.
Aplicación en pequeñas empresas
El tamaño de la organización no elimina el riesgo.
En pequeñas empresas, la aplicación del control puede ser más sencilla, pero igualmente efectiva:
-Política breve y clara.
-Aceptación formal por parte de los empleados.
-Reglas básicas sobre contraseñas, dispositivos y herramientas cloud.
-Supervisión práctica y proporcional al riesgo.
No se trata de burocracia, sino de sentido común organizado.
Qué revisará un auditor
Durante una auditoría, se verificará:
-Que existen normas documentadas.
-Que han sido comunicadas.
-Que se aplican en la práctica.
-Que se actualizan cuando es necesario.
-Que los nuevos empleados las reciben y aceptan.
La evidencia puede incluir políticas firmadas, registros de formación o controles internos realizados.
Conclusión
El Control 5.10 establece un principio sencillo pero fundamental: la información y los activos deben utilizarse de forma responsable y segura.
Definir reglas claras, comunicarlas y aplicarlas reduce significativamente el riesgo de incidentes derivados de comportamientos inadecuados. Además, refuerza la cultura de seguridad y demuestra el compromiso de la organización con la protección de la información.
En definitiva, este control no solo cumple con ISO 27001, sino que fortalece la disciplina interna y protege el valor más importante de cualquier organización moderna: su información.