Gobernanza del acceso remoto seguro y las VPN para NIS2 y DORA
A las 07:42 de un lunes por la mañana, María, CISO de un proveedor SaaS fintech en rápido crecimiento, recibe tres mensajes antes del café.
El primero llega del SOC: una cuenta de VPN perteneciente a un ingeniero de soporte se ha autenticado desde un país en el que la empresa no tiene personal. El segundo llega de Ventas: un cliente de servicios financieros quiere evidencias de que todo acceso remoto privilegiado está protegido por MFA, registrado, segmentado y revisado conforme a controles de riesgo TIC alineados con DORA. El tercero llega de Legal: el mismo evento puede implicar acceso a datos personales, por lo que el delegado de protección de datos (DPO) quiere saber si las evidencias del artículo 32 del RGPD de la UE son suficientemente completas para demostrar medidas técnicas y organizativas adecuadas.
Todavía no ha explotado nada. No hay nota de ransomware. No hay exfiltración confirmada. No hay indisponibilidad para clientes.
Pero María conoce la verdad incómoda. Si la gobernanza del acceso remoto es débil, toda conversación de cumplimiento se vuelve defensiva. Un inicio de sesión en VPN se convierte en una cuestión de ciberhigiene bajo NIS2. Una cuenta de contratista se convierte en una cuestión de riesgo de terceros TIC bajo DORA. Una sesión de escritorio remoto en un entorno de cliente se convierte en una cuestión de seguridad del tratamiento bajo el RGPD de la UE. Un registro ausente se convierte en un hallazgo de auditoría.
El informe de auditoría externa que ya está sobre su mesa empeora la situación. Los auditores no encontraron un ataque sofisticado de día cero. Encontraron cuentas compartidas de contratistas, autenticación multifactor inconsistente, grupos VPN heredados, excepciones no gestionadas y gigabytes de registros demasiado ruidosos para respaldar una investigación. Era deuda técnica convertida en exposición regulatoria.
En 2026, la gobernanza del acceso remoto seguro y las VPN no es un asunto limitado a la seguridad de redes. Es un sistema de control a nivel del Consejo de Administración que conecta identidad, seguridad de endpoints, acceso de proveedores, gestión de vulnerabilidades, registro, respuesta a incidentes, responsabilidad proactiva en privacidad y resiliencia operativa.
El problema del acceso remoto ha cambiado
Hace unos años, la gobernanza del acceso remoto solía resumirse en una respuesta simple: «tenemos una VPN». Esa respuesta ya no resiste un escrutinio serio.
Un entorno moderno de acceso remoto puede incluir concentradores VPN corporativos, pasarelas de acceso de red de confianza cero (ZTNA), bastiones para acceso privilegiado, bastiones para administración de la nube, infraestructura de escritorio remoto, túneles de mantenimiento de proveedores, acceso de proveedores de servicios gestionados, cuentas de emergencia, portales de administración SaaS, acceso de desarrolladores a producción, dispositivos móviles, redes domésticas, Wi-Fi público y excepciones para dispositivos personales (BYOD).
Cada ruta puede convertirse en un punto de evidencia regulatoria.
El artículo 21 de NIS2 espera medidas técnicas, operativas y organizativas adecuadas y proporcionadas. Estas incluyen análisis de riesgos y políticas de seguridad de los sistemas de información, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición y mantenimiento seguros, gestión de vulnerabilidades, políticas para evaluar la eficacia de la ciberseguridad, ciberhigiene, formación en ciberseguridad, criptografía y cifrado cuando corresponda, seguridad de Recursos Humanos, políticas de control de acceso, gestión de activos, autenticación multifactor o continua cuando proceda, comunicaciones seguras y comunicaciones de emergencia seguras.
DORA exige a las entidades financieras mantener marcos documentados de gestión del riesgo TIC, procesos de incidentes TIC, pruebas de resiliencia operativa digital y gobernanza del riesgo de terceros TIC. El artículo 5 de DORA atribuye al órgano de dirección la responsabilidad de definir, aprobar, supervisar y mantener la rendición de cuentas sobre la gestión del riesgo TIC. El artículo 28 exige que el riesgo de terceros TIC se gestione como parte integral de ese marco.
El artículo 32 del RGPD de la UE exige medidas técnicas y organizativas adecuadas para la seguridad del tratamiento, incluidas la confidencialidad, integridad, disponibilidad, resiliencia, capacidad de restauración, pruebas y la capacidad de demostrar que los datos personales están protegidos frente al acceso no autorizado, la pérdida, la alteración o la divulgación.
El problema del CISO no es si la VPN funciona. La pregunta real es si la organización puede demostrar que el acceso remoto está gobernado, evaluado en función del riesgo, aprobado, endurecido, supervisado, revisado, probado e integrado en la respuesta a incidentes.
Ahí es donde ISO/IEC 27001:2022 resulta útil. No trata la VPN como un dispositivo aislado. Sitúa el acceso remoto dentro del SGSI: alcance, partes interesadas, evaluación de riesgos, selección de controles, planificación operacional, gestión de proveedores, auditoría interna, revisión por la dirección y mejora continua.
Empiece por el alcance del SGSI, no por la regla del cortafuegos
Cuando Clarysec revisa la gobernanza del acceso remoto, no empezamos pidiendo una captura de pantalla de la configuración de la VPN. Empezamos por el límite del SGSI.
ISO/IEC 27001:2022 exige que la organización defina su contexto, partes interesadas, requisitos y alcance del SGSI, incluidas las interfaces y dependencias con otras organizaciones. Para el acceso remoto, el alcance debe incluir explícitamente a las personas, sistemas, proveedores y servicios de red que hacen posible el trabajo remoto.
Una organización SaaS o de tecnología financiera debe identificar:
- Empleados que acceden de forma remota a sistemas de producción
- Contratistas y desarrolladores con derechos de administración remota
- MSP, MSSP y otros proveedores con acceso operativo
- Personal de soporte al cliente que accede a datos de inquilinos
- Usuarios de finanzas, Recursos Humanos y legal que acceden de forma remota a datos personales
- Consolas en la nube e interfaces de programación de aplicaciones de gestión remota
- VPN, ZTNA, proveedor de identidad y plataformas de gestión de endpoints
- Registros, integraciones SIEM y ubicaciones de conservación
- Excepciones de acceso remoto y procedimientos de acceso de emergencia
- Dispositivos perimetrales gestionados por proveedores y herramientas de soporte remoto
Esto es más que higiene documental. El alcance de NIS2 puede incorporar proveedores de servicios en la nube, centros de datos, MSP, MSSP, proveedores de comunicaciones electrónicas, proveedores de infraestructura digital y proveedores de gestión de servicios TIC en función del tamaño, sector y designación. DORA se aplica a entidades financieras y opera como el régimen sectorial específico de riesgo TIC para dichas entidades. El RGPD de la UE puede aplicarse a organizaciones de la UE y de fuera de la UE cuando el tratamiento afecte a personas en la UE, establecimientos en la UE, servicios ofrecidos a personas en la Unión o monitorización del comportamiento.
Si el alcance de su SGSI ignora el acceso remoto de terceros, la administración remota, la infraestructura VPN o la conectividad gestionada por proveedores, su conjunto de controles puede estar incompleto antes incluso de que el auditor empiece a tomar muestras.
Construya una pila de controles de acceso remoto
Un programa sólido de acceso remoto debe construirse como una pila de controles, no como una única política. En el trabajo de implantación de Clarysec, los controles centrales de ISO/IEC 27002:2022 suelen incluir:
- 6.7 Trabajo remoto
- 5.15 Control de acceso
- 5.16 Gestión de identidades
- 5.17 Información de autenticación
- 5.18 Derechos de acceso
- 8.5 Autenticación segura
- 8.1 Dispositivos endpoint de usuario
- 8.8 Gestión de vulnerabilidades técnicas
- 8.9 Gestión de configuraciones
- 8.15 Registro de eventos
- 8.16 Actividades de supervisión
- 8.20 Seguridad de redes
- 8.22 Segregación de redes
- 5.19 Seguridad de la información en las relaciones con proveedores
- 5.20 Tratamiento de la seguridad de la información en los acuerdos con proveedores
- 5.21 Gestión de la seguridad de la información en la cadena de suministro TIC
- 5.22 Supervisión, revisión y gestión de cambios de los servicios de proveedores
- 5.23 Seguridad de la información para el uso de servicios en la nube
- 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
- 5.26 Respuesta a incidentes de seguridad de la información
- 5.28 Recopilación de evidencias
- 5.30 Preparación TIC para la continuidad del negocio
Zenith Controls: la guía de cumplimiento transversal mapea Trabajo remoto 6.7 como un control preventivo que respalda la confidencialidad, integridad y disponibilidad, con vínculos operativos con la gestión de activos, la protección de la información, la seguridad física y la seguridad de sistemas y redes. También vincula Trabajo remoto con Seguridad de activos fuera de las instalaciones 7.9, Dispositivos endpoint de usuario 8.1, Concienciación, educación y formación en seguridad de la información 6.3, Transferencia de información 5.14, Seguridad de redes 8.20, Segregación de redes 8.22, Escritorio limpio y pantalla despejada 7.7, y Preparación TIC para la continuidad del negocio 5.30.
Esa relación importa. Un requisito de VPN sin gestión de endpoints no protege frente a un portátil robado. MFA sin registro no respalda una investigación. El acceso de proveedores sin segmentación aumenta el radio de impacto. El trabajo remoto sin notificación de incidentes retrasa la contención.
| Riesgo de acceso remoto | Enfoque de control ISO/IEC 27002:2022 | Evidencias esperadas por los auditores |
|---|---|---|
| Credenciales robadas utilizadas a través de VPN | 8.5 Autenticación segura, 5.15 Control de acceso, 5.17 Información de autenticación | Configuración de MFA, reglas de acceso condicional, alertas de inicio de sesión fallido, registros de autenticación |
| Un antiguo contratista conserva el acceso | 5.18 Derechos de acceso, 5.16 Gestión de identidades, controles de proveedores 5.19 a 5.23 | Registros de altas, cambios y bajas, tickets de baja de proveedores, evidencias de revisión de acceso |
| Un portátil comprometido se conecta de forma remota | 8.1 Dispositivos endpoint de usuario, 6.7 Trabajo remoto, 8.8 Gestión de vulnerabilidades técnicas | Cumplimiento de MDM, estado de EDR, evidencias de cifrado, informes de parches |
| El dispositivo perimetral VPN no está parcheado | 8.8 Gestión de vulnerabilidades técnicas, 8.9 Gestión de configuraciones, 8.20 Seguridad de redes | Registro del activo, resultados de escaneo, SLA de parches, aprobación de excepción |
| Un proveedor utiliza una cuenta remota compartida | 5.15 Control de acceso, 5.16 Gestión de identidades, 8.5 Autenticación segura | Identificadores de usuario únicos, cuentas nominativas de proveedor, registros de MFA, requisitos contractuales |
| No puede reconstruirse una sesión remota sospechosa | 8.15 Registro de eventos, 8.16 Actividades de supervisión, 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información | Registros de VPN, direcciones IP de origen, duración de sesión, alertas SIEM, cronología del incidente |
La pila de controles cambia la conversación. En lugar de debatir si «la VPN cumple», la organización crea un modelo trazable: riesgo de acceso remoto, control ISO, requisito de política, implementación técnica, propietario de evidencias y cadencia de revisión.
Convierta la intención de la política en evidencias de auditoría
Los auditores rara vez aceptan «normalmente usamos MFA» como evidencia. Buscan requisitos formalmente aprobados, controles implantados y registros que demuestren su funcionamiento.
El conjunto de herramientas de políticas de Clarysec proporciona a los equipos lenguaje preciso que pueden adoptar y adaptar. La Política de seguridad de redes - pyme establece en la cláusula 5.5.1:
«El acceso VPN debe requerir autenticación multifactor (MFA) y limitarse al personal designado»
La misma política para pymes convierte el registro en un requisito de conservación en la cláusula 6.3.3:
«El acceso mediante VPN debe registrarse, conservando la duración de las sesiones y las direcciones IP de origen durante un mínimo de 6 meses»
Para el comportamiento en trabajo remoto, la Política de Trabajo Remoto - pyme establece en la cláusula 5.2.3:
«El Wi-Fi público solo podrá utilizarse cuando esté activo un túnel seguro (VPN).»
Para entornos empresariales, la Política de Trabajo Remoto es aún más directa. La cláusula 5.2.1.1 exige al personal:
«Utilizar VPN aprobada por la empresa o infraestructura de escritorio remoto»
La cláusula 5.2.1.2 exige a las organizaciones:
«Exigir autenticación multifactor (MFA) para todos los intentos de inicio de sesión»
La Política de Seguridad de Redes alinea la configuración técnica de referencia con la cláusula 6.3.1:
«Todo acceso remoto debe estar cifrado, por ejemplo, mediante IPsec o SSL VPN, y requerir autenticación multifactor (MFA).»
La Política de Control de Acceso establece en la cláusula 5.6.1:
«Los eventos de acceso deben registrarse y conservarse de conformidad con la Política de registro y supervisión.»
Para proveedores, la Política de seguridad de terceros y proveedores exige en la cláusula 6.3.2:
«Todo acceso de terceros debe registrarse y supervisarse y, cuando sea viable, segmentarse mediante bastiones, VPN o pasarelas Zero Trust.»
La Política de gestión de vulnerabilidades y parches - pyme establece en la cláusula 6.5.1:
«Los sistemas que traten datos personales, proporcionen acceso remoto o estén expuestos externamente deben priorizarse para escaneos y actualizaciones»
Estas cláusulas se vuelven potentes cuando se conectan con evidencias operativas. La política dice que MFA es obligatoria. El proveedor de identidad demuestra su aplicación. El registro de VPN demuestra el uso. La alerta SIEM demuestra la supervisión. La revisión de acceso demuestra la necesidad de negocio continuada. El informe de vulnerabilidades demuestra que el servicio de acceso remoto está priorizado. El playbook de incidentes demuestra preparación de respuesta.
Esa es la diferencia entre tener una política y operar un control.
Las cinco preguntas que todo CISO debe responder
El modelo de gobernanza del acceso remoto de Clarysec se basa en cinco preguntas que funcionan para auditorías ISO 27001, preparación para NIS2, revisiones de riesgo TIC bajo DORA y paquetes de evidencias del artículo 32 del RGPD de la UE.
1. ¿Quién tiene permitido conectarse de forma remota?
El acceso remoto debe restringirse a usuarios, roles y proveedores autorizados. ISO/IEC 27002:2022 Control de acceso 5.15, Gestión de identidades 5.16 y Derechos de acceso 5.18 definen la base de gobernanza.
Zenith Controls mapea Control de acceso 5.15 como un control preventivo centrado en la gestión de identidades y accesos. Vincula el control con Gestión de identidades, Derechos de acceso, Información de autenticación, Dispositivos endpoint de usuario, Autenticación segura y cumplimiento de políticas. En la práctica, una política de acceso solo es creíble si las identidades son únicas, están gestionadas durante todo su ciclo de vida, autenticadas y revisadas.
Un buen registro de acceso remoto debe responder:
- ¿Qué persona o proveedor tiene acceso?
- ¿A qué sistemas puede llegar?
- ¿Qué rol o contrato justifica el acceso?
- ¿Quién lo aprobó?
- ¿Está aplicada la MFA?
- ¿Cuándo se revisó el acceso por última vez?
- ¿Cuándo caduca el acceso temporal?
- ¿Qué fuente de registro demuestra el uso?
Esto también respalda los resultados PR.AA del NIST Cybersecurity Framework 2.0 para gestión de identidades, autenticación, autorización, mínimo privilegio y segregación de funciones.
2. ¿Qué postura de dispositivo y red se exige?
El acceso remoto debe depender de la confianza en el dispositivo, no solo de las credenciales de usuario. Una contraseña válida y una aprobación MFA desde un dispositivo no gestionado, infectado o sin parches sigue siendo un riesgo alto.
Zenith Blueprint: hoja de ruta de 30 pasos para auditores lo explica en la fase Controles en acción, Paso 16, Controles sobre las personas II:
«Debe exigirse a los trabajadores remotos que utilicen únicamente dispositivos aprobados por la empresa, configurados por TI con cifrado completo de disco, protección de endpoints activa, aplicación automática de parches y tiempos de bloqueo de pantalla aplicados.»
El mismo paso subraya que el acceso remoto debe pasar por la VPN corporativa, idealmente protegida por MFA, y que BYOD debe prohibirse o permitirse solo bajo condiciones estrictas, como inscripción en MDM, contenerización y borrado remoto.
Aquí convergen Dispositivos endpoint de usuario 8.1, Trabajo remoto 6.7, Gestión de vulnerabilidades técnicas 8.8, Gestión de configuraciones 8.9 y Seguridad de redes 8.20.
Para el artículo 32 del RGPD de la UE, la postura de dispositivo importa porque los endpoints remotos forman parte de las medidas técnicas y organizativas que protegen los datos personales. Para DORA, la postura de endpoint respalda la gestión del riesgo TIC y la resiliencia operativa. Para NIS2, respalda la ciberhigiene, el control de acceso, la gestión de activos y la gestión de vulnerabilidades.
3. ¿Cómo se protege la sesión?
Una sesión de acceso remoto segura debe utilizar transporte cifrado, autenticación fuerte, segmentación y rutas administrativas controladas.
Zenith Blueprint, fase de Gestión de riesgos, Paso 14, Políticas de tratamiento de riesgos y referencias regulatorias cruzadas, establece la expectativa para el acceso remoto:
«Todo acceso remoto a sistemas internos debe utilizar una VPN segura o una conexión cifrada equivalente. La autenticación multifactor (MFA) es obligatoria para el inicio de sesión remoto en las redes de la empresa.»
El Paso 20, Controles 8.18 a 8.26, instruye a las organizaciones a validar la seguridad de los servicios de red mediante la lista de todos los servicios de red internos y externos, como DNS, VPN, SMTP, DHCP y pasarelas de interfaces de programación de aplicaciones, confirmando protocolos seguros, revisando controles de acceso y comprobando cláusulas de seguridad de terceros cuando los servicios se gestionan externamente.
Una VPN no es solo un dispositivo. Es un servicio de red con decisiones de protocolo, restricciones de acceso, certificados, rutas de cortafuegos, dependencias de terceros, requisitos de parcheado y registros.
4. ¿Cómo se supervisa e investiga el acceso?
La gobernanza del acceso remoto debe incluir registro y supervisión. El artículo 23 de NIS2 establece expectativas de notificación escalonada para incidentes significativos, incluida una alerta temprana en un plazo de 24 horas, una notificación del incidente en un plazo de 72 horas y un informe final en el plazo de un mes. DORA exige a las entidades financieras detectar, gestionar, clasificar, escalar y notificar incidentes graves relacionados con las TIC, incluido el análisis de causa raíz y la comunicación cuando se vean afectados los intereses financieros de los clientes. El análisis de brechas bajo el RGPD de la UE depende de comprender si se accedió a datos personales, o si estos fueron alterados, divulgados, perdidos o comprometidos de otro modo.
Sin registros de acceso remoto, la organización no puede responder con confianza a la primera pregunta del regulador: ¿qué ocurrió?
Un registro sólido debe capturar la identidad del usuario, el resultado de autenticación, la IP de origen, la geolocalización cuando proceda, la identidad del dispositivo, el servicio de destino, la acción privilegiada, la duración de la sesión, los intentos fallidos, los cambios administrativos y la correlación con eventos de endpoint e identidad.
5. ¿Cómo se gestionan las excepciones y vulnerabilidades?
La infraestructura de acceso remoto es de alto valor. Las pasarelas VPN, dispositivos ZTNA, proveedores de identidad, bastiones y servicios de escritorio remoto deben estar entre los activos gestionados con mayor intensidad dentro del programa de vulnerabilidades.
Un proceso maduro de excepciones debe incluir propietario del activo, servicio de acceso remoto afectado, severidad de la vulnerabilidad, explotabilidad, exposición de datos, controles compensatorios temporales, aprobación del propietario del riesgo, fecha de caducidad, evidencias de repetición de pruebas y un vínculo con el registro de riesgos y el plan de tratamiento de riesgos.
Para ISO/IEC 27001:2022, esto respalda el tratamiento de riesgos, el control operacional y la mejora continua. Para DORA, respalda la gestión del riesgo TIC, las pruebas y la remediación. Para NIS2, respalda la gestión de vulnerabilidades y la acción correctiva sin demora indebida. Para el RGPD de la UE, ayuda a demostrar que la seguridad del tratamiento estuvo basada en riesgos y no fue ad hoc.
El acceso remoto de proveedores es la trampa oculta de auditoría
Muchos fallos de acceso remoto no son fallos de empleados. Son fallos de gobernanza de proveedores.
Un MSP tiene una cuenta VPN antigua. Un proveedor de software utiliza una credencial compartida. Un socio de soporte se conecta mediante escritorio remoto para resolver una incidencia con impacto en clientes. Un proveedor de servicios en la nube gestiona la pasarela de acceso remoto. Un contratista conserva acceso tras el cierre del proyecto.
DORA es especialmente estricto aquí. El artículo 28 exige a las entidades financieras gestionar el riesgo de terceros TIC como parte del marco de gestión del riesgo TIC y seguir siendo plenamente responsables incluso cuando los servicios TIC están externalizados. Espera registros de acuerdos contractuales TIC, diligencia debida, estándares de seguridad de la información, derechos de auditoría e inspección, derechos de terminación, análisis de riesgo de concentración y estrategias de salida para funciones críticas o importantes. El artículo 30 especifica disposiciones contractuales como protección de datos, niveles de servicio, ubicaciones del tratamiento, acceso y recuperación de datos, asistencia durante incidentes, cooperación con autoridades, medidas de seguridad, derechos de auditoría y soporte de salida.
El artículo 21 de NIS2 también incluye seguridad de la cadena de suministro y relaciones con proveedores y prestadores de servicios, con atención a las vulnerabilidades específicas de proveedores y sus prácticas de ciberseguridad.
NIST CSF 2.0 GV.SC proporciona un modelo operativo práctico: estrategia de riesgo de la cadena de suministro, roles, criticidad de proveedores, requisitos contractuales, diligencia debida, supervisión, participación en incidentes y actividades posteriores a la relación.
Para los clientes de Clarysec, la regla práctica es simple: el acceso remoto de terceros debe tratarse como acceso privilegiado salvo que se demuestre lo contrario. Debe ser nominativo, aprobado, limitado en el tiempo, protegido por MFA, registrado, supervisado y segmentado.
Mapeo de cumplimiento transversal: un sistema de control, muchas obligaciones
La gobernanza del acceso remoto es uno de los ejemplos más sólidos de cumplimiento transversal. La misma evidencia puede satisfacer múltiples obligaciones si se diseña correctamente.
| Motor de cumplimiento | Expectativa sobre acceso remoto | Evidencia que mantener |
|---|---|---|
| ISO/IEC 27001:2022 | Selección de controles basada en riesgos, gobernanza de accesos, control de proveedores, evidencias operativas y mejora continua | Evaluación de riesgos, Declaración de Aplicabilidad, políticas, revisiones de acceso, registros, hallazgos de auditoría interna |
| NIS2 | Ciberhigiene, control de acceso, gestión de activos, MFA cuando proceda, gestión de incidentes, continuidad del negocio y seguridad de la cadena de suministro | Registros de MFA, formación en ciberhigiene, controles de acceso de proveedores, informes de incidentes, acciones correctivas |
| DORA | Gobernanza del riesgo TIC, autenticación fuerte, ciclo de vida de incidentes, pruebas de resiliencia, riesgo de terceros TIC y responsabilidad proactiva del órgano de dirección | Registro de riesgos TIC, pruebas de acceso remoto, clasificaciones de incidentes, registros de proveedores, planes de salida, derechos de auditoría |
| Artículo 32 del RGPD de la UE | Seguridad del tratamiento adecuada, confidencialidad, integridad, disponibilidad, resiliencia, pruebas y responsabilidad proactiva | Registros de acceso, evidencias de cifrado, aplicación de MFA, registros de evaluación de brechas, resultados de pruebas |
| NIST CSF 2.0 | Resultados de Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar | Perfiles actuales y objetivo, inventario de activos, controles de identidad PR.AA, supervisión DE.CM, análisis RS.AN |
| COBIT 2019 e ISACA assurance | Objetivos de gobernanza, prácticas de gestión, diseño de controles y eficacia operativa | RACI, propiedad del proceso, métricas de desempeño de controles, pista de auditoría, seguimiento de remediación |
Una matriz de correspondencia ISO más detallada muestra por qué la gobernanza del acceso remoto aporta tanto valor de cumplimiento.
| Control ISO/IEC 27002:2022 | Alineación con NIS2 | Alineación con DORA | Evidencia del artículo 32 del RGPD de la UE |
|---|---|---|---|
| 6.7 Trabajo remoto | Respalda la ciberhigiene, el control de acceso y las prácticas de trabajo seguro del artículo 21 | Respalda políticas y procedimientos TIC para trabajo remoto y resiliencia operativa | Demuestra medidas organizativas para personal que trata datos personales fuera de la oficina |
| 8.5 Autenticación segura | Respalda el artículo 21(2)(j) sobre autenticación multifactor o continua cuando proceda | Respalda expectativas de autenticación fuerte dentro de medidas de protección y prevención TIC | Demuestra una medida técnica para reducir el acceso no autorizado a datos personales |
| 8.20 Seguridad de redes | Respalda comunicaciones seguras, cifrado y protección de servicios de red | Respalda la protección frente a intrusión, uso indebido y acceso TIC no autorizado | Muestra la protección de datos en tránsito y rutas de red controladas |
| 8.22 Segregación de redes | Respalda la limitación del impacto y la aplicación de límites de control de acceso | Respalda resiliencia y contención para funciones críticas o importantes | Reduce la exposición de datos personales al limitar los sistemas alcanzables |
| Controles de proveedores 5.19 a 5.23 | Respalda la seguridad de la cadena de suministro del artículo 21(2)(d) | Respalda los artículos 28 y 30 sobre riesgo de terceros TIC y gobernanza contractual | Respalda la responsabilidad proactiva de encargados y proveedores sobre el acceso seguro |
| 8.15 Registro de eventos y 8.16 Actividades de supervisión | Respalda la gestión de incidentes y la evaluación de la eficacia | Respalda detección, clasificación, escalado y notificación de incidentes TIC | Respalda la evaluación de brechas y las evidencias forenses |
| 8.8 Gestión de vulnerabilidades técnicas | Respalda mantenimiento seguro y gestión de vulnerabilidades | Respalda reducción del riesgo TIC, pruebas y remediación | Muestra protección basada en riesgos de sistemas que tratan datos personales |
NIS2 también introduce responsabilidad explícita de la dirección. El artículo 20 exige a los órganos de dirección de entidades esenciales e importantes aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implantación y recibir formación. El artículo 5 de DORA exige de forma similar que el órgano de dirección de las entidades financieras defina, apruebe, supervise y siga siendo responsable de los mecanismos de gestión del riesgo TIC.
El Consejo de Administración no necesita aprobar cada regla de cortafuegos. Pero sí debe aprobar la postura de riesgo del acceso remoto: MFA obligatoria, acceso de proveedores registrado, acceso privilegiado segmentado, infraestructura de acceso remoto parcheada dentro de plazos definidos, excepciones limitadas en el tiempo e incidentes cibernéticos escalados por canales acordados.
Sprint de 90 minutos para evidencias de acceso remoto
Una forma práctica de exponer brechas es crear un minipaquete de evidencias alrededor de una ruta de acceso. Elija un ejemplo, como «acceso VPN para ingenieros de soporte de producción», y complete el siguiente sprint.
| Minuto | Actividad | Resultado |
|---|---|---|
| 0 a 10 | Definir la ruta de acceso | Una frase que describa quién se conecta, desde dónde, a qué y por qué |
| 10 a 25 | Mapear las políticas aplicables | Cláusulas de la Política de Trabajo Remoto, Política de Seguridad de Redes, Política de Control de Acceso y Política de Seguridad de Proveedores, si procede |
| 25 a 40 | Capturar la aplicación técnica | Capturas de pantalla o exportaciones que demuestren MFA, cifrado, pertenencia a grupos y acceso condicional |
| 40 a 55 | Capturar registros | Inicio de sesión correcto reciente, inicio de sesión fallido, IP de origen, duración de sesión y ejemplo de alerta SIEM |
| 55 a 70 | Revisar vulnerabilidades y postura del dispositivo | Estado de parches del activo VPN, informe de cumplimiento del endpoint y excepciones abiertas |
| 70 a 80 | Comprobar evidencias de revisión de acceso | Última revisión de acceso, usuarios eliminados, excepciones aprobadas y aprobación del propietario |
| 80 a 90 | Crear narrativa de auditoría | Explicación de una página que mapee riesgo, control, política, implementación y evidencia |
El objetivo no es el papeleo. El objetivo es conectar la política con la prueba. Si el paquete de evidencias no puede completarse para una sola ruta de acceso, la organización ha encontrado una brecha real de gobernanza antes de que la encuentre el auditor o el regulador.
Este ejercicio también encaja con el método de Perfiles de NIST CSF 2.0: delimitar el perfil, reunir políticas y requisitos, documentar resultados actuales y objetivo, analizar brechas, crear un plan de acción priorizado e implantar mejoras.
Cómo probarán los auditores el acceso remoto
Una auditoría de acceso remoto puede sentirse distinta según el perfil del auditor. Zenith Controls ayuda a las organizaciones a prepararse porque mapea las relaciones entre controles ISO/IEC 27002:2022 en una visión de cumplimiento transversal, no en una única lista de verificación.
| Enfoque del auditor | Pregunta probable | Respuesta sólida |
|---|---|---|
| ISO 27001 | ¿Por qué seleccionaron estos controles de acceso remoto? | Evaluación de riesgos, justificación de la Declaración de Aplicabilidad, plan de tratamiento y mapeo de políticas |
| NIST CSF 2.0 | ¿Cuál es su estado actual y objetivo? | Perfil, análisis de brechas, plan de acción priorizado y mejoras implantadas |
| COBIT 2019 | ¿Quién rinde cuentas por la gobernanza del acceso remoto? | RACI, propietario del proceso, revisión por la dirección y métricas de control |
| DORA | ¿Cómo gestionan el acceso remoto de terceros TIC? | Registro de proveedores, diligencia debida, cláusulas contractuales, derechos de auditoría y plan de salida |
| RGPD de la UE | ¿Puede demostrar que el acceso a datos personales estaba controlado? | MFA, mínimo privilegio, registros, revisiones de acceso y registros de evaluación de brechas |
Una organización preparada para auditoría no improvisa capturas de pantalla. Mantiene un sistema vivo de evidencias.
Hallazgos comunes en 2026
En distintas evaluaciones, Clarysec observa repetidamente los mismos problemas de acceso remoto:
- MFA está habilitada para empleados, pero no para proveedores, cuentas de emergencia o perfiles VPN heredados
- Existen registros de acceso remoto, pero no se conservan el tiempo suficiente, no están centralizados o no están vinculados a identidades
- El cumplimiento de endpoints se gestiona por separado del acceso VPN, por lo que los dispositivos no gestionados todavía pueden conectarse
- Las revisiones de acceso se centran en aplicaciones de la organización, pero ignoran grupos VPN, permisos de bastión y roles de administración de la nube
- La infraestructura de acceso remoto no está incluida en la lista de prioridades de vulnerabilidades
- El acceso de proveedores se aprueba de manera informal y no se refleja en los contratos
- Las excepciones no tienen fecha de caducidad, control compensatorio ni aprobación del propietario del riesgo
- Las cuentas de emergencia no se prueban, supervisan ni revisan
- Las sesiones privilegiadas no están segmentadas del tráfico general de acceso remoto
- Los playbooks de respuesta a incidentes no incluyen la recopilación de evidencias de acceso remoto
Estos hallazgos son evitables. Suelen provenir de una propiedad fragmentada. Los equipos de redes son responsables de la VPN. IAM es responsable de la MFA. TI es responsable de los dispositivos. Compras es responsable de los contratos con proveedores. Legal es responsable de los términos de tratamiento de datos. El SOC es responsable de las alertas. Cumplimiento es responsable de las evidencias de auditoría.
El SGSI debe conectarlos.
El modelo operativo objetivo para el acceso remoto seguro
Un modelo maduro de gobernanza del acceso remoto seguro y las VPN debe incluir las siguientes prácticas operativas:
- Mantener un inventario de todos los métodos de acceso remoto, incluidas VPN, ZTNA, RDP, bastiones, portales de administración SaaS y túneles de proveedores
- Exigir MFA para todo acceso remoto, incluidos proveedores, administradores y cuentas de emergencia
- Aplicar el cumplimiento del dispositivo antes del acceso cuando sea técnicamente viable
- Utilizar segmentación, bastiones o pasarelas Zero Trust para acceso privilegiado y de terceros
- Registrar IP de origen, identidad de usuario, resultado de autenticación, sistema de destino y duración de sesión
- Conservar registros conforme a la política y a las necesidades regulatorias y de investigación
- Priorizar los sistemas de acceso remoto para escaneos de vulnerabilidades y aplicación de parches
- Revisar los derechos de acceso periódicamente y ante cambios de rol, terminación o cambios contractuales de proveedores
- Limitar en el tiempo el acceso de emergencia, temporal y de proveedores
- Incluir el acceso remoto en la respuesta a incidentes, la evaluación de brechas y los ejercicios de crisis
- Probar la resiliencia del acceso remoto y las rutas de acceso de respaldo cuando la continuidad lo requiera
- Integrar el acceso remoto de proveedores en contratos, diligencia debida, supervisión y planificación de salida
- Informar a la dirección sobre métricas de riesgo del acceso remoto
Para María, esto se convierte en un plan de acción práctico. En las dos primeras semanas, utiliza Zenith Blueprint para actualizar documentos de gobernanza, alinear políticas con las obligaciones de NIS2 y DORA, y obtener la aprobación de la dirección. Durante el mes siguiente, sus equipos de TI y seguridad aplican MFA en todos los perfiles de acceso remoto, segmentan el acceso de contratistas, ajustan el registro y priorizan los sistemas VPN y ZTNA para la remediación de vulnerabilidades. De forma continua, ejecuta revisiones trimestrales de acceso, prueba la recopilación de evidencias de incidentes e informa al Consejo de Administración sobre métricas de riesgo.
El resultado no es solo una configuración VPN más limpia. Es un sistema de control de acceso remoto que puede resistir una auditoría, respaldar la respuesta a incidentes y reducir el riesgo operativo real.
Construya su paquete de evidencias de acceso remoto antes del próximo incidente
La alerta VPN del lunes por la mañana no tiene por qué convertirse en una crisis. Pero sí debe convertirse en una prueba de gobernanza.
¿Puede identificar al usuario? ¿Puede demostrar MFA? ¿Puede confirmar la postura del dispositivo? ¿Puede reconstruir la sesión? ¿Puede determinar si los datos personales eran accesibles? ¿Puede mostrar que la cuenta fue aprobada y revisada? ¿Puede demostrar que el dispositivo VPN estaba parcheado? ¿Puede demostrar que el acceso de proveedores está registrado y segmentado? ¿Puede la dirección ver el riesgo?
Si la respuesta es «todavía no», Clarysec puede ayudar.
Empiece con Zenith Blueprint: hoja de ruta de 30 pasos para auditores para estructurar su hoja de ruta de implementación ISO/IEC 27001:2022, especialmente el Paso 14 para políticas de tratamiento de riesgos, el Paso 16 para controles de trabajo remoto, el Paso 19 para autenticación segura y el Paso 20 para seguridad de servicios de red. Utilice Zenith Controls: la guía de cumplimiento transversal para mapear Trabajo remoto, Control de acceso, Autenticación segura, controles de proveedores, registro y seguridad de redes con los controles relacionados de ISO/IEC 27002:2022 y evidencias de cumplimiento transversal.
Después, operativice los requisitos con políticas de Clarysec como la Política de Trabajo Remoto, la Política de Seguridad de Redes, la Política de Control de Acceso, la Política de seguridad de terceros y proveedores y equivalentes preparados para pymes.
Su próxima auditoría no debe ser la primera vez que se reúnen sus evidencias de acceso remoto. Constrúyalas ahora, pruébelas ahora y convierta la gobernanza del acceso remoto seguro en una de las partes más sólidas de su programa de cumplimiento. Contacte con Clarysec para una evaluación de gobernanza del acceso remoto, descargue las plantillas de políticas o reserve una demo para ver cómo sus controles actuales se mapean con ISO 27001, NIS2, DORA y el artículo 32 del RGPD de la UE.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
