06 Apr Control 6.7: Trabajo remoto en ISO 27001. Cómo aplicarlo correctamente
El trabajo remoto se ha consolidado como una práctica habitual en la mayoría de las organizaciones modernas. La flexibilidad, la productividad y el acceso global al talento han impulsado su adopción. Sin embargo, trabajar fuera de las instalaciones corporativas también introduce nuevos riesgos de seguridad que deben ser gestionados de forma adecuada.
En este contexto, el control 6.7 de la ISO 27001 cobra especial relevancia, ya que aborda específicamente cómo proteger la información cuando el personal opera en entornos remotos.
¿Qué es el control 6.7?
El control 6.7 establece que las organizaciones deben implementar medidas de seguridad para proteger la información que se accede, procesa o almacena fuera de sus instalaciones. Este control no se limita únicamente al teletrabajo desde casa, sino que incluye cualquier situación en la que los empleados realizan sus tareas desde ubicaciones externas, como espacios de coworking, cafeterías o durante desplazamientos.
Además, contempla tanto el uso de medios digitales como la gestión de documentos físicos, ampliando así su alcance a todos los formatos de información que puedan estar expuestos fuera del entorno corporativo.
¿Por qué es importante?
Cuando los empleados trabajan fuera del entorno corporativo, la organización pierde parte del control directo sobre factores críticos como las redes utilizadas, los dispositivos empleados, el entorno físico y los mecanismos de acceso a la información.
Esta pérdida de control incrementa significativamente el riesgo de incidentes de seguridad, como accesos no autorizados, pérdida o filtración de datos, infecciones por malware o ataques dirigidos. Por ello, el control 6.7 busca mitigar estos riesgos mediante la implementación de políticas claras y medidas técnicas adecuadas que garanticen la protección de la información en todo momento.
Política de trabajo remoto
Uno de los pilares fundamentales de este control es la definición de una política clara de trabajo remoto. Esta política debe establecer quién puede trabajar en remoto, en qué condiciones y qué medidas de seguridad deben cumplirse.
Asimismo, debe especificar qué dispositivos y herramientas están permitidos, asegurando que se utilicen únicamente aquellos que cumplan con los estándares de seguridad definidos por la organización. No se trata solo de establecer normas, sino también de evaluar los riesgos adicionales que el trabajo remoto puede introducir, como el uso de redes inseguras, la ausencia de copias de seguridad, la exposición de información sensible o una mayor vulnerabilidad frente a ataques.
Una política bien definida no solo reduce riesgos, sino que también aporta claridad y coherencia en la forma en que se gestiona el trabajo remoto dentro de la organización.
Aplicación en empresas de desarrollo de software
En empresas tecnológicas, donde el trabajo remoto es especialmente frecuente, este control adquiere una importancia crítica. La protección de activos como el código fuente, los repositorios, los entornos de desarrollo y los datos de clientes es fundamental para garantizar la continuidad del negocio y la confianza de los usuarios.
Para ello, es necesario implementar medidas como el acceso seguro mediante VPN y autenticación multifactor, el control de accesos basado en roles, el uso de dispositivos corporativos y el cifrado de la información. También resulta clave la monitorización de accesos y la creación de entornos de desarrollo seguros que minimicen la exposición a riesgos.
La seguridad en este tipo de empresas no solo debe ser robusta, sino también flexible, para adaptarse a la naturaleza distribuida de sus equipos.
En soluciones SaaS
Cuando una organización utiliza soluciones SaaS, el foco principal se centra en proteger el acceso a las plataformas en la nube. En este modelo, la identidad del usuario se convierte en el principal perímetro de seguridad.
Por ello, es imprescindible implementar autenticación multifactor en todos los servicios, gestionar adecuadamente las identidades y accesos, y aplicar controles basados en dispositivos o ubicaciones. La monitorización de la actividad también juega un papel clave, permitiendo detectar comportamientos anómalos o accesos sospechosos.
El uso de conexiones seguras, como HTTPS, y la implementación de mecanismos de protección frente a fugas de información son igualmente esenciales. En este entorno, el mayor riesgo suele ser el compromiso de cuentas, lo que hace imprescindible reforzar las medidas de autenticación y control de accesos.
En soluciones on-premise
En entornos on-premise, donde los sistemas están alojados dentro de la propia organización, el trabajo remoto amplía considerablemente el perímetro de seguridad. Esto implica que los accesos externos deben ser gestionados con especial cuidado.
El uso de VPN seguras es una de las medidas más habituales, junto con la segmentación de red para limitar el alcance de posibles incidentes. También es recomendable el uso de escritorios virtuales, que permiten trabajar de forma remota sin exponer directamente los sistemas internos.
La protección avanzada de endpoints, la realización de copias de seguridad robustas y la monitorización constante de la red son elementos clave en este tipo de entornos. En este caso, el principal riesgo suele ser un acceso remoto inseguro que pueda comprometer la infraestructura interna.
Aplicación en pequeñas empresas
Las pequeñas empresas también deben aplicar el control 6.7, aunque adaptándolo a sus recursos y capacidades. No es necesario contar con soluciones complejas para mejorar significativamente la seguridad.
Medidas como definir una política sencilla de trabajo remoto, activar la autenticación multifactor en servicios clave, mantener los dispositivos actualizados y utilizar antivirus pueden marcar una gran diferencia. Asimismo, es importante realizar copias de seguridad automáticas, limitar los accesos según las necesidades y formar a los empleados en buenas prácticas de seguridad.
En muchos casos, la concienciación del personal es una de las herramientas más efectivas para reducir riesgos.
Conclusión
El control 6.7 es fundamental en un entorno donde el trabajo remoto ha pasado de ser una excepción a convertirse en la norma. Su correcta implementación permite reducir riesgos de seguridad, proteger la información crítica y mantener el cumplimiento normativo.
Más allá de restringir el trabajo remoto, el objetivo es hacerlo seguro y sostenible. Las organizaciones que logren integrar estas medidas de forma efectiva no solo protegerán sus activos, sino que también estarán mejor preparadas para afrontar los desafíos de un entorno laboral cada vez más digital y distribuido.