Política de teletrabajo

La Política de teletrabajo (P09) proporciona un marco integral para gestionar el acceso remoto seguro y mitigar los riesgos específicos asociados a entornos de trabajo distribuidos. Está diseñada para todo el personal, incluidos empleados a tiempo completo, a tiempo parcial, contratados, proveedores terceros de servicios, consultores, proveedores terceros y personal basado en proyectos, que estén autorizados a desempeñar funciones fuera de las instalaciones corporativas. La política es efectiva en todas las geografías y husos horarios donde opera la organización, garantizando una línea base de seguridad uniforme independientemente de dónde o cuándo se realice el teletrabajo. Su propósito principal es mantener la confidencialidad, integridad y disponibilidad de los activos de información de la organización a los que se accede o que se manejan fuera de las instalaciones. La política lo logra mediante la implantación de salvaguardas técnicas y procedimentales robustas, como el cifrado obligatorio, la autenticación fuerte (incluida la autenticación multifactor), la protección de endpoints y canales de acceso seguros como red privada virtual (VPN) o escritorios remotos. Se alinea estrechamente con los requisitos de ISO/IEC 27001:2022, incluido el Anexo A, Control 6.7, que se centra en condiciones seguras de trabajo remoto, garantizando que se aborden tanto las protecciones físicas como las lógicas. Los controles también responden a normativas del sector como NIST SP 800-53 (para protecciones de acceso y criptográficas), GDPR y NIS2 (para seguridad y privacidad de los datos) y DORA (para resiliencia de las TIC financieras). Secciones específicas de la política delimitan roles y responsabilidades en la alta dirección, el liderazgo de seguridad de la información (director de Seguridad de la Información (CISO)/responsable del SGSI), Operaciones de TI, RR. HH., superiores jerárquicos, Legal y Cumplimiento y el propio personal remoto. Por ejemplo, TI se encarga de desplegar y dar soporte a la infraestructura segura, realizar el seguimiento del cumplimiento de dispositivos y mantener archivos de registro de eventos. Los empleados y trabajadores remotos contratados deben adherirse al uso seguro de dispositivos, métodos de acceso aprobados, reglas de manejo de datos y notificar con prontitud cualquier incidente de seguridad de la información o pérdida de dispositivos. La política prohíbe estrictamente el acceso remoto salvo a través de configuraciones autorizadas y exige que todos los dispositivos, corporativos o Trae tu propio dispositivo (BYOD), cumplan una línea base de seguridad (configuración segura, aplicación de parches, cifrado, protección contra el software malicioso) y requisitos de registro. Los mecanismos de gobernanza dentro de la política abordan el tratamiento de riesgos, la gestión de excepciones y la aplicación de forma rigurosa. Categorías de riesgo como el robo de credenciales, la exfiltración de datos, las amenazas internas, las infracciones regulatorias y el compromiso por malware se abordan directamente con controles por capas: control de acceso basado en roles (RBAC), alertas de SIEM, seguridad de endpoints, reglas de manejo de datos y formación y concienciación en seguridad. Además, todas las excepciones deben estar aprobadas por el CISO, documentadas y revisadas periódicamente. La supervisión continua se mantiene mediante seguimiento, registro de auditoría centralizado y procesos de auditoría definidos. Los incumplimientos de la política están sujetos a revocación de acceso, medidas disciplinarias, terminación del contrato o acción legal. La política también se integra estrechamente con políticas relacionadas, incluidas la política de seguridad de la información, la Política de uso aceptable, la Política de control de acceso, el Marco de gestión del riesgo, la Gestión de instalaciones y activos, la Política de conservación de datos y la Política de registro y monitorización, para formar un modelo de gobernanza de teletrabajo de extremo a extremo. Su ciclo de revisión anual o impulsado por eventos garantiza la capacidad de respuesta ante amenazas en evolución, cambios regulatorios o avances tecnológicos, con todas las actualizaciones comunicadas formalmente y con acuse de recibo. Esto aplica de forma consistente operaciones seguras, conformes y fiables en todos los escenarios de teletrabajo.