Saltar al contenido
CertENS
EN
Casos de uso

Teletrabajo seguro y su encaje con el Anexo II

Cómo cumplir las medidas del Anexo II cuando buena parte de la plantilla trabaja en remoto: accesos, endpoints, red, formación y evidencias.

6 min de lectura Diego Aranda · Implantador ENS · CertENS

El teletrabajo ha dejado de ser excepción para convertirse en norma en buena parte de las organizaciones. El ENS no prohíbe el teletrabajo ni lo regula específicamente, pero las medidas del Anexo II aplican con la misma exigencia estés en la oficina o en casa. Este artículo recopila cómo encajar las prácticas habituales de trabajo remoto con las medidas del ENS, con ejemplos reales.

Qué medidas activan “el teletrabajo”

No hay una medida específica de teletrabajo, pero varias se vuelven más exigentes cuando la plantilla trabaja fuera del perímetro:

  • op.acc.3 / op.acc.5: control de acceso e identidad reforzada.
  • mp.com.1 / mp.com.3: perímetro y segmentación.
  • mp.eq.1 / mp.eq.2: seguridad del puesto y portátiles.
  • mp.per.4: concienciación específica.
  • op.mon.1: detección de anomalías.

Arquitectura de referencia

Dos modelos predominan en los proyectos que llevamos:

Modelo A — VPN clásica

Usuarios con portátil corporativo → VPN (IKEv2, OpenVPN o WireGuard) → red interna → aplicaciones.

Ventajas: control tradicional, fácil de entender, auditable. Desventajas: pone toda la seguridad en la VPN; si se compromete un endpoint, se compromete todo.

Modelo B — Zero Trust / SASE

Usuarios → proveedor SASE (Zscaler, Cloudflare, Netskope) → acceso granular por aplicación con MFA y políticas contextuales.

Ventajas: menor superficie, control por aplicación, telemetría rica. Desventajas: mayor coste, curva de adopción.

En categoría Media ambos modelos son válidos. En Alta, el modelo B se defiende mejor si está bien configurado.

Elementos imprescindibles

1. MFA obligatorio para acceso remoto

Sin excepciones. No vale SMS en categoría Alta; push/TOTP/FIDO2. Las cuentas privilegiadas deberían usar FIDO2 siempre.

2. Endpoints corporativos gestionados

  • Portátiles con cifrado de disco completo.
  • Antivirus/EDR con gestión centralizada.
  • MDM/EMM con políticas aplicadas.
  • Parcheo gestionado (no depender del usuario).
  • USB limitado (al menos controlado con política + detección).

BYOD (traer tu propio dispositivo) en ENS Alta es muy difícil de defender. En Media puede aceptarse con MDM y con contenedor aislado para los datos corporativos, pero documenta bien el riesgo.

3. Red

  • Wifi doméstica con cifrado WPA2/WPA3.
  • VPN obligatoria para acceso a recursos internos.
  • Navegación saliente filtrada (proxy o SASE).
  • Bloqueo de redes públicas abiertas si es posible.

4. Colaboración

  • Herramientas corporativas únicas (no mezclar Google, Slack personal, etc.).
  • Espacios de colaboración con clasificación documental.
  • Grabación/retención de reuniones sensibles controlada.

5. Autenticación continua

Preferible sesión corta con re-autenticación a sesiones infinitas. Invalidación tras inactividad (15–30 min en aplicaciones sensibles).

Formación específica

La medida mp.per.4 exige formación y concienciación. En un contexto remoto, esta formación debe incluir:

  • Identificación de phishing (el vector número 1 en teletrabajo).
  • Gestión de credenciales y uso de gestor.
  • Reconocimiento de ingeniería social.
  • Uso seguro del portátil fuera de la oficina.
  • Qué hacer si pierde el portátil o lo roban.
  • Canal de notificación de incidentes.

Idealmente un curso inicial + recordatorios trimestrales + simulacros de phishing.

Cómo evidenciar el cumplimiento

En auditoría te van a pedir:

  • Política específica de teletrabajo.
  • Inventario de endpoints con estado de gestión (MDM).
  • Logs de acceso remoto (VPN / SASE).
  • Registro de MFA activado por usuario.
  • Política de actualización y parcheo de endpoints.
  • Procedimiento de robo/pérdida.
  • Evidencias de formación.

Automatizar estos reportes con el stack que tengas (Entra ID, Google Workspace, MDM, SIEM) ahorra esfuerzo en cada auditoría.

Consideraciones por tipo de trabajador

Trabajador de oficina ocasional

Riesgo bajo, controles estándar. Portátil corporativo + MFA + VPN suele ser suficiente.

Consultor / equipo técnico con acceso privilegiado

Aquí el control se endurece: FIDO2 obligatorio, estaciones de trabajo privilegiadas (PAW), monitorización de sesiones, registro exhaustivo. En categoría Alta es exigencia.

Personal con acceso a datos muy sensibles (sanidad, defensa)

Escenario más restrictivo: sesiones remotas virtualizadas (VDI), sin descarga local, monitorización de sesión, DLP activo.

Externos / proveedores

Accesos específicos y limitados en tiempo, JIT (just-in-time). No reutilizar cuentas compartidas.

Errores frecuentes

  • “VPN siempre on” pero sin split tunneling definido. Los usuarios acaban desactivándola si se degrada el rendimiento.
  • MDM en equipos corporativos pero BYOD libre. Crea un canal lateral de fuga de información.
  • Permitir guardar credenciales en navegadores personales. Revoca ese comportamiento por política.
  • Desplegar EDR sin supervisarlo. Tienes telemetría pero nadie la analiza.
  • Ignorar al empleado tras el offboarding. Revoca accesos y borra el portátil antes de 24 h desde la salida.

El cuadro mínimo para categoría Media

Si quieres un “mínimo viable” que pase auditoría Media:

  1. Portátiles corporativos con cifrado + EDR + MDM.
  2. MFA en todos los accesos a recursos corporativos.
  3. VPN (o SASE) con logs retenidos 6 meses.
  4. Política de teletrabajo firmada por empleados.
  5. Formación anual registrada.
  6. Procedimiento de robo/pérdida con SLA < 4 horas.
  7. Revisión trimestral de accesos.

Con estos siete bloques bien documentados, el teletrabajo deja de ser una fuente de problemas en la auditoría.

Conclusión

El teletrabajo no es incompatible con el ENS, pero exige disciplina. Los controles son los mismos que en oficina, solo que aplicados a un perímetro que ya no se ve. Cuanto antes se asuma ese cambio de modelo mental, antes se implantan los controles correctos y menos fricción genera el día a día.

Sigue leyendo

Casos de uso

ENS en universidades y centros educativos

Cómo adaptar el ENS al entorno universitario: sedes electrónicas, matrícula, actas, investigación, y el equilibrio con la libertad académica.

6 min
Casos de uso

ENS para el sector sanitario: particularidades

Implantación del ENS en hospitales, centros de atención primaria y proveedores sanitarios: datos de salud, MIR/historia clínica, integración con LOPDGDD y RGPD.

6 min
Casos de uso

Proveedores de la AAPP: por qué necesitas ENS para licitar

Si tu empresa presta servicios TIC a cualquier administración pública española, el ENS es un requisito real en licitaciones. Explicamos por qué y cómo abordarlo.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu