Objetivo del control
El control 8.1 tiene como finalidad garantizar que la información de la organización esté protegida cuando es almacenada, tratada o consultada a través de dispositivos utilizados por los usuarios. Esto aplica con independencia del tipo de dispositivo o de su ubicación, y busca evitar accesos no autorizados, pérdidas de información o usos indebidos de los sistemas corporativos.
Para considerar el control correctamente implantado, la organización debe asegurar que los dispositivos de usuario no se convierten en un punto débil de su seguridad de la información.
Dispositivos de usuario y riesgos asociados
Se consideran dispositivos de usuario todos aquellos equipos utilizados por personas para acceder a los sistemas y servicios de la organización, como ordenadores, portátiles, teléfonos móviles, tabletas o dispositivos de acceso remoto.
Estos dispositivos suponen uno de los principales vectores de riesgo, ya que están expuestos a amenazas como malware, phishing o robo de credenciales. También es frecuente el riesgo derivado de contraseñas débiles, reutilizadas o compartidas, así como la pérdida o sustracción de dispositivos sin cifrado ni mecanismos de borrado remoto.
A ello se suman los riesgos internos, como el uso indebido de información por parte de empleados o colaboradores, y el uso de aplicaciones o servicios no autorizados (Shadow IT) que pueden eludir los controles corporativos.
Uso de dispositivos personales (BYOD)
El modelo BYOD permite utilizar dispositivos personales para fines laborales, lo que aporta flexibilidad, pero incrementa los riesgos si no se gestiona adecuadamente. Para cumplir con el control 8.1, la organización debe definir claramente qué dispositivos se permiten, qué requisitos de seguridad deben cumplir y qué controles se aplican.
Entre las medidas habituales se incluyen el registro de dispositivos, el uso de autenticación reforzada, el cifrado de la información corporativa, la separación entre datos personales y profesionales y auditorías periódicas de cumplimiento.
Aplicación en empresas de desarrollo de software
En las empresas de desarrollo de software, los dispositivos de usuario son entornos activos de trabajo desde los que se accede a código fuente, repositorios, entornos cloud y datos de clientes.
En soluciones SaaS, el principal riesgo está en el acceso remoto a infraestructuras centralizadas. El control 8.1 debe centrarse en asegurar accesos desde dispositivos protegidos, con autenticación robusta, control de privilegios y trazabilidad. La filtración de credenciales, tokens o claves API desde los dispositivos es una de las amenazas más habituales.
En soluciones on-premise, el riesgo se concentra en la información almacenada localmente en los dispositivos, como código fuente, configuraciones o copias de datos de clientes. En este modelo, el control debe reforzar el cifrado de los equipos, la segregación de información por cliente y la gestión segura de accesos a entornos del cliente.
No conformidades habituales detectadas en auditorías
En nuestras auditorías es frecuente identificar no conformidades relacionadas con este control, como:
Portátiles corporativos sin cifrado de disco utilizados fuera de la oficina.
Ausencia de un inventario actualizado de dispositivos de usuario.
Uso de dispositivos personales para acceder a repositorios de código o entornos cloud sin política BYOD formal.
Credenciales y claves de acceso almacenadas en texto plano en los dispositivos de los desarrolladores.
Falta de procedimientos para retirar accesos y eliminar información cuando un empleado deja la organización.
Escasa formación a los usuarios sobre el uso seguro de dispositivos y la detección de phishing.
Conclusión
El control 8.1 es esencial para demostrar diligencia técnica y organizativa en la protección de la información. Su correcta implantación exige combinar medidas técnicas, políticas claras y concienciación de los usuarios, adaptando los controles al modelo de negocio y, en el caso de empresas de software, al tipo de solución desarrollada. Contacta con nosotros en este formulario y estaremos encantados de ayudarle.
