Seguridad en Teletrabajo: Políticas y Controles Esenciales

El teletrabajo se ha consolidado como una modalidad permanente en las empresas chilenas. La Ley 21.220 reguló el trabajo a distancia, pero la dimensión de seguridad de la información en el teletrabajo va mucho más allá del marco laboral. ISO 27001:2022 incluye el control A.6.7 específicamente dedicado al trabajo remoto, y múltiples controles adicionales del Anexo A son directamente aplicables a este escenario.

Riesgos de seguridad en el teletrabajo

El teletrabajo amplía significativamente la superficie de ataque de la organización. Los principales riesgos incluyen redes domésticas inseguras (routers sin actualizar, contraseñas por defecto, redes WiFi compartidas), dispositivos personales sin controles de seguridad (BYOD), exposición visual de información en espacios compartidos, dificultad para el control físico de documentos y dispositivos, mayor susceptibilidad a ataques de phishing por el aislamiento, y uso de herramientas de comunicación no autorizadas (shadow IT).

Política de teletrabajo: elementos esenciales

Elemento	Contenido	Control ISO 27001 relacionado
Condiciones de acceso remoto	Quién puede teletrabajar, desde dónde, con qué dispositivos	A.6.7 Trabajo remoto
Dispositivos permitidos	Corporativos, BYOD, requisitos mínimos de seguridad	A.8.1 Dispositivos de usuario
Conectividad segura	VPN, acceso condicional, autenticación multifactor	A.8.5 Autenticación segura
Clasificación y manejo de información	Qué información puede procesarse remotamente	A.5.12 Clasificación de información
Seguridad física del espacio de trabajo	Pantalla de privacidad, cierre de sesión, documentos físicos	A.7.7 Escritorio limpio y pantalla limpia
Respuesta a incidentes	Cómo reportar incidentes de seguridad desde remoto	A.5.24 Planificación de respuesta a incidentes

Controles técnicos para teletrabajo seguro

Acceso seguro

Implementa acceso condicional que evalúe la identidad del usuario, el estado del dispositivo, la ubicación y el comportamiento antes de otorgar acceso. La autenticación multifactor es obligatoria para todo acceso remoto. El modelo Zero Trust es el enfoque más robusto para este escenario.

Protección de endpoints

Los dispositivos remotos deben contar con cifrado de disco completo, antimalware actualizado, firewall activo, actualizaciones automáticas del sistema operativo, y capacidad de borrado remoto en caso de pérdida o robo.

Comunicaciones seguras

Todas las comunicaciones entre el dispositivo remoto y los recursos corporativos deben estar cifradas. Esto incluye no solo la conexión VPN, sino también el correo electrónico, las herramientas de colaboración y las aplicaciones de negocio.

Monitoreo y registro

Mantén la capacidad de monitorear y registrar las actividades de acceso remoto con el mismo nivel de detalle que las actividades presenciales. Los registros de acceso son esenciales para la detección de incidentes y las investigaciones forenses.

Importante: El uso de dispositivos personales (BYOD) para el teletrabajo requiere controles adicionales: segmentación de datos corporativos y personales, políticas de uso aceptable, y capacidad de la organización para gestionar remotamente al menos la porción corporativa del dispositivo.

Capacitación y concienciación

Los empleados remotos son la primera línea de defensa. La capacitación debe cubrir la identificación de phishing y ingeniería social, el uso seguro de redes WiFi, la protección de información en espacios compartidos, los procedimientos de reporte de incidentes, y el uso adecuado de herramientas aprobadas por la organización.

Teletrabajo y protección de datos

El teletrabajo también tiene implicaciones de privacidad bajo la Ley 21.719. Si los empleados acceden a datos personales desde sus hogares, la organización debe asegurar que los controles de protección de datos se mantienen. Los controles de ISO 27701 sobre seguridad del tratamiento son directamente aplicables al escenario de teletrabajo.

Buena práctica: Realiza evaluaciones periódicas de seguridad del entorno de teletrabajo. Un checklist sencillo que los empleados completen trimestralmente puede identificar riesgos como redes WiFi sin cifrado, dispositivos desactualizados o falta de respaldo de información.

Gestiona la seguridad del teletrabajo con GRC360

GRC360 te permite gestionar políticas de teletrabajo, controles de seguridad remota, evaluaciones de riesgo y cumplimiento de ISO 27001 para trabajo a distancia.

Crear Cuenta Gratis

Consulta nuestras guías sobre Zero Trust, phishing y protección contra ransomware.