Política de teletrabajo - PYME

P09S – Política de teletrabajo es una directriz de cumplimiento de ciberseguridad adaptada a pequeñas y medianas empresas (pymes) que buscan salvaguardar la información de la empresa cuando el personal opera fuera de los entornos tradicionales de oficina. Tal como indica su designación para pymes (P09S) y su enfoque en el rol del director general, la política está estructurada para organizaciones que carecen de equipos dedicados de TI o de responsables formales de seguridad, y aun así mantiene una alineación estricta con estándares internacionales, en particular ISO/IEC 27001:2022. El propósito de la política es establecer requisitos de seguridad claros y aplicables para todo el personal que accede a sistemas o datos de la empresa de forma remota, ya sea desde casa, espacios de trabajo compartidos o durante viajes. Sus prioridades se centran en proteger la confidencialidad, integridad y disponibilidad de la información empresarial. P09S se aplica de forma universal a empleados, contratistas, consultores y trabajadores temporales, y cubre el uso tanto de dispositivos propiedad de la empresa como de dispositivos personales (cuando se permita), todos los medios de acceso remoto (VPN, escritorios remotos, nube) y reglas específicas para el manejo de datos y el seguimiento. Los objetivos clave incluyen prevenir el acceso no autorizado a los sistemas, garantizar que todos los dispositivos remotos cumplan una formación básica en seguridad (por ejemplo, protección por contraseña, antivirus actualizado y cifrado) y mantener la supervisión de los privilegios de acceso remotos. La política pone especial énfasis en una gobernanza adaptada a pymes: el director general autoriza el teletrabajo, supervisa el cumplimiento, revisa excepciones documentadas y coordina con el soporte de TI (interno o externalizado) para la aplicación técnica y la respuesta a incidentes. Los responsables de oficina o RR. HH. se encargan del mantenimiento de registros y de obtener el acuse de recibo de la política, mientras que los trabajadores remotos son responsables de la seguridad física y digital, incluida la notificación inmediata de incidentes como pérdida de dispositivos o incumplimientos de la política. Los requisitos de gobernanza establecen que todo acceso remoto debe recibir un flujo formal de aprobación y mantenerse un registro, que deben utilizarse conexiones seguras (p. ej., VPN y autenticación multifactor) en todo momento, y que los dispositivos personales solo pueden utilizarse si cumplen los estándares de seguridad de la empresa y están registrados con TI. La política también especifica controles estrictos sobre datos sensibles, prohibiendo la impresión en casa salvo con salvaguardas, exigiendo almacenamiento en la nube en lugar de guardado local y asegurando que los documentos se guarden bajo llave o se destruyan. Las medidas de seguridad física evitan el robo y el acceso no autorizado a dispositivos y documentos durante el trabajo remoto. Las secciones de implementación cubren plazos de notificación de incidentes, comprobaciones puntuales o seguimiento por parte del director general o del soporte de TI, límites sobre software y herramientas permitidos, revocación inmediata de acceso y comprobaciones de cumplimiento al producirse la desvinculación, y una gestión rigurosa de excepciones documentadas temporales. La política incluye un marco claro para gestionar los riesgos del teletrabajo, especificando medidas de control como la aplicación de VPN, la protección de endpoints y restricciones de impresión o almacenamiento. Cualquier excepción requiere aprobación por escrito, evaluación documentada y salvaguardas temporales. Las infracciones repetidas o significativas pueden dar lugar a la terminación del acceso, medidas disciplinarias o cancelación del contrato. Los ciclos de revisión y actualización son anuales, o se activan por incidentes importantes o cambios en requisitos normativos o tecnología de teletrabajo. Esto garantiza el cumplimiento continuo con marcos líderes y con necesidades empresariales o legales cambiantes. P09S está mapeada explícitamente a ISO/IEC 27001:2022 e ISO/IEC 27002:2022, NIST SP 800-53, GDPR, NIS2, DORA y COBIT 2019, proporcionando una base sólida de cumplimiento para pymes que necesitan aseguramiento sin la complejidad de una gestión de seguridad de nivel empresarial.