Compliance

SGSI y dispositivos remotos: ¿cómo proteger endpoints móviles dentro del marco legal?

juanhernandez@preyhq.com
Juan H.
Jun 27, 2025
0 minutos de lectura
SGSI y dispositivos remotos: ¿cómo proteger endpoints móviles dentro del marco legal?

Trabajar desde casa, en tránsito o desde una cafetería se volvió parte del día a día. Las empresas se han adaptado a modelos más flexibles, donde la movilidad es clave. Pero esa comodidad también abre la puerta a riesgos: dispositivos que se conectan desde redes inseguras, extravíos, accesos indebidos y una visibilidad reducida del entorno digital.

Por eso, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) sólido es una necesidad estratégica. En ese camino, la norma internacional ISO 27001 ofrece el marco ideal para estructurar políticas y controles. En el caso de Chile, la Ley 21.663 agrega un componente obligatorio para sectores críticos, reforzando la exigencia de proteger los dispositivos móviles y sus datos con criterios técnicos y legales claros.

¿Qué exige la Ley 21.663 respecto al control de dispositivos?

La Ley 21.663, conocida como la Ley Marco de Ciberseguridad, busca fortalecer la resiliencia digital de Chile. Su foco está en regular cómo organizaciones clave —los Operadores de Servicios Esenciales (OSE) y de Importancia Vital (OIV)— deben proteger sus sistemas e infraestructura ante amenazas. Estos actores tienen la responsabilidad directa de proteger los activos que soportan servicios críticos.

En ese contexto, los dispositivos endpoint (como laptops, tablets o móviles corporativos) juegan un rol clave. Son puntos de entrada a los sistemas, y su control es indispensable para cumplir con los estándares de la Agencia Nacional de Ciberseguridad (ANCI). Si no se gestionan adecuadamente, se convierten en vectores de ataque que pueden comprometer toda la operación.

La Ley 21.663 establece, directa o indirectamente, obligaciones como:

  • Gestión de incidentes: Las organizaciones deben implementar medidas permanentes para prevenir, reportar, contener y resolver incidentes de ciberseguridad. Esto incluye revisar continuamente redes, sistemas y dispositivos para detectar amenazas o accesos indebidos. (Art. 7 y 8 letra d)
  • Continuidad operativa: Se requiere la elaboración de planes de continuidad operacional certificados y revisados periódicamente, lo cual implica asegurar la disponibilidad de dispositivos críticos incluso tras un incidente. (Art. 8 letra c)
  • Control de dispositivos conectados a sistemas críticos: Las entidades deben saber qué dispositivos están conectados, quién los usa, dónde están, y en qué condiciones de seguridad operan. Además, deben adoptar medidas para restringir o bloquear el acceso cuando exista un riesgo. (Art. 8 letra e)
  • Reporte obligatorio de incidentes: Es obligatorio informar al CSIRT Nacional sobre cualquier incidente o ciberataque que pueda tener efectos significativos. Este reporte se debe hacer en tres etapas: alerta temprana (3 horas), actualización (72 o 24 horas), e informe final (15 días). Si el incidente sigue activo, se debe enviar un informe de situación. (Art. 9)

Controles requeridos para dispositivos móviles

La ISO 27001 es una norma internacional que ayuda a las organizaciones a gestionar la seguridad de su información. Su meta es proteger la confidencialidad, integridad y disponibilidad de los datos, sin importar dónde estén o cómo se acceda a ellos. Para lograr esto, la norma incluye una serie de controles: prácticas y medidas que se deben aplicar para reducir riesgos. En entornos donde se trabaja de forma remota o se usan dispositivos móviles, algunos de estos controles se vuelven especialmente importantes.

A.6.2.1 – Política de dispositivos móviles

Este control exige que las organizaciones establezcan una política específica para gestionar el uso de dispositivos móviles que puedan acceder a información corporativa. No se trata solo de poner reglas por escrito, sino de asegurarse de que los dispositivos estén realmente protegidos. Esto incluye desde celulares corporativos hasta tablets o laptops personales usados para trabajar.

Una buena política de dispositivos móviles debe considerar:

  • Cifrado y contraseñas fuertes: para proteger la información almacenada localmente y capacidad de cifrar el dispositivo remotamente.
  • Restricciones de instalación: evitar que el usuario instale apps no autorizadas que puedan comprometer la seguridad.
  • Actualizaciones y parches al día: mantener el sistema operativo y el software protegido contra vulnerabilidades.
  • Controles de acceso: como autenticación de dos factores y bloqueo automático por inactividad.
  • Copias de seguridad seguras: especialmente si se almacenan datos relevantes en el dispositivo.
  • Respuesta ante incidentes: Tener la posibilidad de proteger el dispositivo ante cualquier incidente que se reporte en el mismo (robo, perdida, comportamiento errático, etc.)

A.6.2.2 – Teletrabajo

Este control va más allá del dispositivo y se enfoca en el entorno en el que se realiza el trabajo remoto. La norma pide que se defina claramente quién puede trabajar fuera de la oficina, en qué condiciones y con qué restricciones, cuidando la seguridad de la información en todo momento.

Una política de teletrabajo sólida debe contemplar:

  • Uso obligatorio de redes seguras o VPN: para proteger la conexión entre el usuario y los sistemas corporativos.
  • Equipos autorizados y configurados previamente: evitar que cualquier computador personal tenga acceso sin controles adecuados.
  • Normas para el entorno físico: por ejemplo, no dejar documentos confidenciales a la vista o usar protectores de pantalla en lugares públicos.
  • Clasificación de la información y niveles de acceso: no todos los datos deben estar disponibles para todos los usuarios, especialmente si trabajan desde lugares no controlados.

A.6.7 – Trabajo remoto

Este control va más allá del simple hecho de “poder conectarse desde casa”. Busca que las organizaciones establezcan medidas claras para proteger la información cuando los colaboradores trabajan desde ubicaciones no controladas. Implica pensar en los riesgos del entorno, el tipo de acceso permitido y cómo se asegura la confidencialidad de los datos. Algunas medidas que suelen aplicarse incluyen:

  • Evaluar el entorno de trabajo remoto: ¿Hay privacidad? ¿Se puede controlar quién accede al equipo?
  • Tecnologías de acceso seguro: como VPNs, escritorios virtuales o túneles cifrados.
  • Medidas físicas de protección: como pantallas de privacidad, muebles con llave o destructoras de documentos.
  • Normas sobre uso compartido o acceso por terceros: evitar que familiares o personas ajenas usen el mismo dispositivo.

A.7.2.2 – Concientización en seguridad

De nada sirve tener las mejores herramientas si quienes las usan no saben cómo proteger la información. Este control enfatiza la necesidad de capacitar continuamente al personal, especialmente cuando se trabaja a distancia. La formación debe ir más allá de lo técnico e incluir buenas prácticas cotidianas. Algunas acciones recomendadas:

  • Capacitaciones regulares: presenciales o virtuales, según la realidad de cada equipo.
  • Campañas internas de seguridad: correos, infografías o videos cortos.
  • Evaluaciones o simulacros de phishing: para medir la efectividad del aprendizaje.
  • Recordatorios prácticos: por ejemplo, sobre cómo crear contraseñas seguras o reconocer un correo sospechoso.

A.8.1 – Dispositivos del usuario

Aquí la atención está puesta en los equipos que usan los empleados: laptops, teléfonos, tablets, computadores de escritorios, etc. Este control exige que las organizaciones protejan la información que se almacena, procesa o transmite desde estos dispositivos. La idea es simple: si un endpoint se ve comprometido, toda la red corre peligro. Las medidas más comunes incluyen:

  • Cifrado remoto obligatorio: proteger los datos en caso de pérdida o robo.
  • Antivirus y antimalware activos y actualizados.
  • Capacidades de bloqueo y borrado remoto.
  • Gestión centralizada de dispositivos (MDM/UEM).
  • Política BYOD clara: especialmente si se permite el uso de equipos personales.

Riesgos de endpoints remotos que buscan mitigar la ISO 27001

Los controles de la ISO 27001 enfocados en dispositivos móviles y trabajo remoto no están por gusto: responden a riesgos reales que las organizaciones enfrentan todos los días. Desde errores humanos hasta robos físicos, estos son algunos de los escenarios que buscan prevenir o contener antes de que escalen.

  • Fuga de información confidencial: Cuando un dispositivo sin cifrado cae en manos equivocadas, toda la información interna puede terminar expuesta o filtrada.
  • Accesos no autorizados: Si un equipo no tiene autenticación robusta, cualquier persona puede acceder a cuentas, sistemas o correos corporativos, incluso desde redes abiertas.
  • Pérdida física del dispositivo: El extravío de una laptop o celular sin herramientas de rastreo o bloqueo remoto representa un riesgo inmediato y difícil de contener sin medidas previas.
  • Uso de software no autorizado: Aplicaciones instaladas sin control pueden introducir malware, capturar credenciales o generar accesos externos no monitoreados.
  • Errores del usuario: Un simple clic en un enlace de phishing puede comprometer toda la red si no hay conciencia ni filtros de protección activos.

Buenas prácticas recomendadas por la norma

La ISO 27001 no solo exige controles: también entrega recomendaciones útiles y concretas para minimizar riesgos. Aplicarlas ayuda a consolidar un entorno más seguro para quienes trabajan fuera de la oficina o usan dispositivos móviles corporativos.

  • Aplicar cifrado a todos los dispositivos móviles y portátiles: Así, si se pierden o son robados, los datos quedan protegidos.
  • Actualizar sistemas y software de forma regular: Las actualizaciones tapan vulnerabilidades que pueden ser explotadas fácilmente si no se corrigen a tiempo.
  • Desarrollar una política clara para trabajo remoto y uso de dispositivos personales (BYOD): Evita la improvisación y da lineamientos concretos al equipo.
  • Usar autenticación multifactor (MFA): Agrega una capa extra de seguridad al acceso a plataformas sensibles.
  • Entrenar al personal de forma continua: A mayor conocimiento, menor posibilidad de caer en errores evitables como compartir contraseñas o usar redes inseguras.
  • Implementar herramientas de gestión y monitoreo de dispositivos (MDM/UEM): Permiten tener control remoto, aplicar configuraciones de seguridad y responder ante incidentes sin depender del usuario.

Aplicación práctica: cómo proteger endpoints remotos

Tener una política clara y específica para el uso de dispositivos móviles y trabajo remoto es el primer paso para reducir riesgos. Esta política debe dejar en claro qué se espera de los usuarios, qué dispositivos están autorizados, cómo deben estar configurados y qué controles se aplican. No basta con repartir laptops: hay que establecer reglas que protejan la información, incluso fuera de la oficina.

Controles técnicos esenciales:

Los siguientes controles forman la base tecnológica mínima para proteger los endpoints remotos. Son herramientas que permiten prevenir accesos no deseados, detener amenazas en tiempo real y asegurar que los datos sensibles no queden expuestos ante errores o pérdidas.

  • Cifrado: Protege los datos almacenados en el dispositivo en caso de pérdida o robo. Es una barrera clave para evitar accesos no autorizados.
  • Antivirus/EDR: Permite detectar y detener amenazas en tiempo real. Las soluciones de tipo EDR (Endpoint Detection and Response) ofrecen mayor visibilidad sobre lo que ocurre en cada equipo.
  • MDM/UEM: Las plataformas de gestión de dispositivos móviles (MDM) o de endpoints (UEM) ayudan a tener full visibilidad del inventario de dispositivos y controlar remotamente qué se instala, cómo se configura el equipo y aplicar remotamente acciones de seguridad como bloqueo, encriptación o borrado.
  • VPN y doble factor: Una VPN cifra la conexión entre el dispositivo y la red corporativa. El doble factor añade una capa más de protección al inicio de sesión, haciendo mucho más difícil un acceso no autorizado.

Otros elementos clave:

Más allá de la tecnología, hay prácticas que fortalecen la seguridad operativa en el día a día. Estos elementos complementan los controles técnicos y permiten sostener la seguridad en el tiempo, adaptándose a cambios y errores humanos.

  • Control de acceso granular y principio de mínimo privilegio: Cada usuario debe tener acceso solo a lo que necesita. Así se limita el impacto si su cuenta o dispositivo se ve comprometido.
  • Capacitación continua a usuarios remotos: Los trabajadores deben saber cómo actuar frente a riesgos comunes: desde no conectarse a redes Wi-Fi públicas sin protección, hasta cómo identificar un intento de phishing.
  • Revisión periódica de autorizaciones y configuración: No basta con configurar todo una vez. Es clave revisar regularmente los accesos, políticas de seguridad, y comprobar que los dispositivos sigan cumpliendo con los requisitos definidos.

Funcionalidades esenciales para proteger dispositivos móviles en el marco de la ISO 27001 y la Ley 21.663

La seguridad de los dispositivos móviles no se logra solo con buenas intenciones o políticas en papel. Para cumplir con los requisitos de ISO 27001 y la Ley 21.663, es clave contar con funcionalidades prácticas que permitan actuar rápido ante cualquier incidente, mantener el control sobre los equipos y asegurarse de que la información sensible esté protegida en todo momento.

Estas funcionalidades no solo apoyan la implementación técnica de los controles exigidos por ISO 27001, sino que también permiten responder adecuadamente ante fiscalizaciones de la ANCI, y fortalecer la postura de ciberseguridad frente a amenazas modernas en entornos distribuidos.

Funcionalidades esenciales para proteger dispositivos móviles:

  • Rastreo de dispositivos perdidos o robados: Saber dónde está un equipo en todo momento ayuda a prevenir filtraciones y facilita la recuperación. El rastreo geolocalizado permite reaccionar rápidamente ante pérdidas o robos, especialmente en dispositivos que contienen acceso a datos críticos.
  • Bloqueo remoto de dispositivos: Si un equipo cae en manos equivocadas, bloquearlo a distancia es una forma efectiva de impedir el acceso a la información. Es una respuesta rápida que frena posibles daños mientras se evalúa la situación.
  • Borrado remoto de datos confidenciales: Cuando no hay posibilidad de recuperar un dispositivo, lo mejor es eliminar cualquier rastro de información corporativa. Esta función permite limpiar archivos sensibles a distancia y reducir el impacto de una pérdida.
  • Asignación de dispositivos a usuarios específicos (gestión de flotas): Asociar cada equipo a un responsable permite tener trazabilidad, aplicar políticas personalizadas y auditar el uso. Es una práctica básica para organizaciones con múltiples usuarios y dispositivos distribuidos.
  • Alertas automáticas ante eventos sospechosos: Cambios de ubicación inesperados, conexiones desde redes no autorizadas o intentos de acceso fallidos pueden activar alertas automáticas. Esto ayuda a detectar amenazas antes de que se materialicen.
  • Auditoría de actividad e historial de movimientos: Registrar qué hizo un dispositivo, dónde estuvo y cuándo permite entender mejor los incidentes y reforzar políticas. Además, sirve como evidencia ante auditorías o investigaciones internas.

Más allá de la tecnología: lo que marca la diferencia en la seguridad móvil

Asegurar los dispositivos remotos ya no es opcional si tu organización quiere cumplir con la ISO 27001 y la Ley de Ciberseguridad 21.663 en Chile, pues un Sistema de Gestión de Seguridad de la Información (SGSI) bien implementado debe incluir medidas concretas para proteger endpoints fuera del perímetro.

Pero ojo: no se trata solo de comprar tecnología y esperar lo mejor. Las soluciones deben integrarse con procesos, políticas y, sobre todo, con las personas. La formación, la concientización y una cultura de seguridad son igual de importantes que cualquier herramienta.

Además, el cumplimiento real exige monitoreo continuo, auditorías internas periódicas y la capacidad de responder con agilidad ante incidentes. Prepararse para posibles fiscalizaciones de la ANCI no es solo cumplir con la norma, sino demostrar que tu organización toma la seguridad en serio. La trazabilidad, la evidencia y la mejora continua son tus mejores aliados.

No dejes que tu seguridad se escape de tus manos

Rastrea, protege y gestiona tus dispositivos como un experto. En Prey, te ayudamos a mantener todo bajo control. Contáctanos y protege lo que importa.

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.