El trabajo remoto se ha convertido en una práctica habitual en la mayoría de las organizaciones. Sin embargo, trabajar fuera de las instalaciones corporativas introduce nuevos riesgos de seguridad que deben gestionarse adecuadamente.
El control 6.7 de ISO 27001 aborda precisamente este escenario, estableciendo la necesidad de proteger la información cuando el personal trabaja de forma remota.
¿Qué es el control 6.7?
El control 6.7 exige que las organizaciones implementen medidas de seguridad para proteger la información que se accede, procesa o almacena fuera de sus instalaciones.
El trabajo remoto incluye cualquier situación en la que un empleado realiza sus tareas desde ubicaciones externas, ya sea desde casa, espacios compartidos o durante desplazamientos, utilizando medios digitales o documentos físicos.
¿Por qué es importante?
Cuando los empleados trabajan fuera del entorno corporativo, la organización pierde parte del control directo sobre:
- Las redes utilizadas
- Los dispositivos
- El entorno físico
- El acceso a la información
Esto aumenta el riesgo de incidentes como accesos no autorizados, pérdida de datos o infecciones por malware.
Por ello, el control 6.7 busca reducir estos riesgos mediante políticas y medidas técnicas adecuadas.
Política de trabajo remoto
Una de las bases de este control es definir una política clara de trabajo remoto que establezca:
- Quién puede trabajar en remoto
- En qué condiciones
- Qué medidas de seguridad deben cumplirse
- Qué dispositivos y herramientas están permitidos
Además, la organización debe evaluar si el trabajo remoto introduce riesgos adicionales, como:
- Uso de redes inseguras
- Falta de copias de seguridad
- Exposición de información sensible
- Mayor vulnerabilidad frente a ataques
Aplicación en empresas de desarrollo de software
En empresas tecnológicas, donde el trabajo remoto es frecuente, este control es especialmente crítico.
Es necesario proteger activos clave como:
- Código fuente
- Repositorios
- Entornos de desarrollo
- Datos de clientes
Algunas medidas recomendadas incluyen:
- Acceso mediante VPN y autenticación multifactor (MFA)
- Control de accesos basado en roles
- Uso de dispositivos corporativos
- Cifrado de datos
- Monitorización de accesos
- Entornos de desarrollo seguros
En soluciones SaaS
Cuando la empresa utiliza servicios en la nube, el foco principal está en proteger el acceso a las plataformas.
Medidas clave:
- MFA obligatorio en todos los servicios
- Gestión de identidades y accesos (IAM)
- Control de accesos por dispositivo o ubicación
- Monitorización de actividad
- Uso de conexiones seguras (HTTPS)
- Protección frente a fugas de información
El mayor riesgo en este modelo suele ser el compromiso de cuentas.
En soluciones on-premise
Cuando los sistemas están alojados en la propia organización, el trabajo remoto amplía el perímetro de seguridad.
Medidas recomendadas:
- Acceso mediante VPN segura
- Segmentación de red
- Uso de escritorios virtuales (VDI)
- Protección avanzada de endpoints
- Copias de seguridad robustas
- Monitorización de red
Aquí, el principal riesgo es un acceso remoto inseguro a la infraestructura interna.
Aplicación en pequeñas empresas
Las pequeñas empresas también deben aplicar este control, aunque con un enfoque más práctico y adaptado a sus recursos.
Algunas medidas básicas pero efectivas:
- Definir una política sencilla de trabajo remoto
- Activar MFA en servicios clave
- Mantener dispositivos actualizados
- Usar antivirus
- Realizar copias de seguridad automáticas
- Limitar accesos según necesidad
- Formar a los empleados en buenas prácticas
Conclusión
El control 6.7 es fundamental en un entorno donde el trabajo remoto ya no es una excepción, sino la norma.
Su correcta implementación permite:
- Reducir riesgos de seguridad
- Proteger la información crítica
- Mantener el cumplimiento normativo
No se trata de eliminar el trabajo remoto, sino de hacerlo seguro.
