El teletrabajo llegó para quedarse, pero la seguridad de la información no viajó con los empleados. El 67% de las brechas de seguridad en empresas argentinas durante 2025 involucraron trabajadores remotos con controles insuficientes. ISO 27001 te da el marco para proteger tu información sin importar desde dónde se acceda.
Los riesgos reales del home office
Cuando un empleado trabaja desde su casa, el perímetro de seguridad corporativo desaparece. Los riesgos más frecuentes que identificamos en auditorías son:
Redes Wi-Fi inseguras
El router hogareño rara vez tiene la seguridad de una red corporativa. Contraseñas débiles, firmware desactualizado, redes compartidas con vecinos o familiares. Un atacante en la misma red puede interceptar tráfico no cifrado.
Dispositivos personales sin control (BYOD)
Equipos sin antivirus actualizado, sin cifrado de disco, compartidos con otros miembros de la familia. Si el empleado usa su notebook personal para trabajar, la empresa pierde control sobre la seguridad del endpoint.
Phishing y ingeniería social
Trabajando aislados, los empleados son más vulnerables a correos de phishing. Sin el compañero al lado para consultar si un mail es sospechoso, la tasa de clics en enlaces maliciosos se multiplica.
Fuga de información por canales no autorizados
WhatsApp personal, Dropbox, USB, fotos de pantalla. Cuando la información sale del entorno corporativo controlado, se pierde trazabilidad y se multiplican los vectores de fuga.
Controles clave de ISO 27001:2022 para teletrabajo
ISO 27001:2022 incorporó cambios significativos en su Anexo A, incluyendo controles específicos para trabajo remoto. Estos son los más relevantes:
| Control | Nombre | Aplicación en teletrabajo |
|---|---|---|
| A.6.7 | Trabajo remoto | Control central: define medidas de seguridad para trabajo fuera de las instalaciones |
| A.8.1 | Dispositivos endpoint del usuario | Protección de laptops, celulares y tablets usados en home office |
| A.5.10 | Uso aceptable de información | Qué puede y qué no puede hacer el empleado con la información corporativa |
| A.8.5 | Autenticación segura | MFA obligatorio para acceso remoto a sistemas corporativos |
| A.8.20 | Seguridad de redes | VPN, segmentación, monitoreo del tráfico de acceso remoto |
| A.6.3 | Concientización en seguridad | Capacitación específica sobre riesgos del teletrabajo |
BYOD y VPN: los dos pilares técnicos
La gestión de dispositivos personales y las conexiones seguras son los dos temas que más preocupan a las organizaciones con trabajo remoto:
- Empleados usan cualquier dispositivo
- Sin cifrado de disco
- Sin antivirus corporativo
- Datos mezclados con uso personal
- Sin capacidad de borrado remoto
- Dispositivos registrados y aprobados
- Cifrado obligatorio (BitLocker/FileVault)
- Antivirus gestionado centralmente
- Contenedor corporativo separado
- Borrado remoto ante pérdida o robo
Cómo implementar ISO 27001 con equipo remoto
Identificá los activos de información que se acceden remotamente, las amenazas del entorno hogareño y las vulnerabilidades de la infraestructura de acceso remoto. No uses la misma evaluación que para la oficina.
Definí reglas claras: qué información se puede acceder remotamente, qué dispositivos están permitidos, requisitos de seguridad del espacio físico de trabajo, horarios de soporte y procedimiento ante incidentes.
VPN corporativa con MFA, gestión de endpoints (MDM/EDR), cifrado de disco en todos los dispositivos, DLP para prevenir fuga de datos, monitoreo de accesos y sesiones remotas.
Capacitación inicial y refuerzos periódicos sobre phishing, ingeniería social, uso seguro de redes Wi-Fi, manejo de información confidencial y reporte de incidentes. Un empleado concientizado es tu mejor control de seguridad.
¿Necesitás certificar ISO 27001?
Auditorías remotas, presenciales o híbridas con acreditación internacional. Respuesta en 24 horas.
Preguntas frecuentes
¿ISO 27001 es obligatoria para empresas con teletrabajo en Argentina?
No es obligatoria por ley, pero la Ley de Teletrabajo (27.555) y su reglamentación exigen al empleador garantizar la protección de datos e información. ISO 27001 es el estándar internacional más reconocido para demostrar este cumplimiento de forma sistemática.
¿Qué es el control A.6.7 de ISO 27001:2022?
El control A.6.7 "Trabajo remoto" establece los requisitos de seguridad para cuando el personal trabaja fuera de las instalaciones de la organización. Incluye medidas de seguridad física del lugar de trabajo, controles de acceso, protección de comunicaciones y gestión de equipos.
¿Puedo certificar ISO 27001 si mi equipo trabaja 100% remoto?
Sí. ISO 27001 es aplicable a cualquier modalidad de trabajo. La auditoría se adapta: se verifican los controles técnicos de acceso remoto, las políticas de trabajo remoto, la seguridad de los endpoints y las prácticas de los usuarios. La auditoría puede ser remota o híbrida.
¿Qué política de BYOD debo tener para ISO 27001?
La política de BYOD (Bring Your Own Device) debe definir: qué dispositivos personales están permitidos, requisitos mínimos de seguridad (antivirus, cifrado, actualizaciones), separación de datos corporativos y personales, procedimiento de borrado remoto en caso de pérdida, y restricciones de instalación de software.