SHIELD

Organización y equipo

Política de viajes empresarial: más allá del documento de 40 páginas

Construir una política de viajes que se use de verdad, con un nivel de protección calibrado según el destino.

Publicado el 17 min de lectura Exposed

Última revisión:

Sala de reuniones de empresa moderna

Una multinacional me entrega su política de viajes. 47 páginas. Sección 12.3: «Los empleados deben evitar usar redes Wi-Fi no seguras.» Ninguna definición de «no seguras». Ninguna herramienta facilitada. Ninguna formación asociada. Le pregunto al CISO qué hace un comercial a las 6 de la mañana cuando un agente de aduanas le quita el portátil. Silencio. El documento existe. El riesgo, también.

La trampa habitual

Una política de viajes que no es operativa es teatro de cumplimiento. Existe para responder «sí» a una línea de un auditor, no para cambiar lo que pasa sobre el terreno. Protege a la empresa en el sentido jurídico más perezoso —«teníamos una política»— y no protege a nadie en el momento en que importa. La pregunta útil no es «¿tiene usted una política de viajes?». Es «¿saben sus empleados qué hacer cuando les requisan el dispositivo en la frontera al amanecer, en un país cuyo idioma no hablan?». En nueve empresas de cada diez, la respuesta es no. Incluso en las que tienen sus 47 páginas firmadas.

El discurso dominante trata la política como un entregable. Se redacta, se hace validar por el departamento jurídico, se difunde en la incorporación del empleado, se archiva en la intranet, y se marca la casilla. Nadie la vuelve a leer. Nadie verifica que sea aplicable. Nadie la prueba. Envejece sin que nadie la toque, hasta la siguiente auditoría en que se reabre para cambiar la fecha.

Esta mecánica produce un documento que describe un mundo ideal e ignora el mundo real. El empleado, en cambio, vive en el mundo real. Tiene un avión que coger, una reunión con un cliente en doce horas, un teléfono que se calienta, una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. de empresa que no se conecta desde el vestíbulo del hotel, y ninguna idea del número al que llamar si algo sale mal. El documento no le sirve de nada. Peor: le da, y le da a su dirección, la sensación de que existe una protección. Es lo peor de los dos mundos: el coste de la redacción, más el riesgo no cubierto, más la falsa seguridad.

La política teatral tiene además un coste oculto que nadie calcula: desacredita toda la función de seguridad. Un empleado que ha leído una vez un documento inaplicable aprende que la seguridad, en esta empresa, es papeleo. Transfiere ese juicio a la siguiente instrucción, que quizá sea la que de verdad cuenta.

Modelo de amenaza real

El viaje desplaza al empleado fuera de su perímetro de control y lo coloca en un entorno donde otros actores tienen la ventaja del terreno. No es una abstracción. Los vectores son concretos, documentados, y cada uno corresponde a una fase precisa del desplazamiento.

La frontera. A la entrada de ciertos países, un agente puede pedir inspeccionar, copiar o retener un dispositivo. En Estados Unidos, el registro de dispositivos electrónicos en la frontera no requiere orden judicial: es una excepción constitucional bien establecida. En otras jurisdicciones, negarse a desbloquear un dispositivo es un delito que puede acarrear prisión. Es el registro en fronteraRegistro de dispositivos electrónicos en las fronteras por las aduanas o la policía., y es el primer escenario que una política seria debe cubrir, porque es legal, frecuente, y pilla al empleado desprevenido. La divulgación forzadaObligación legal de proporcionar contraseñas o descifrar dispositivos bajo amenaza de sanción. de la contraseña pone al viajero ante una elección para la que ningún documento de 47 páginas lo ha preparado.

La red local. El Wi-Fi públicoRed Wi-Fi abierta o compartida (hotel, cafetería, conferencia) — modelo de amenaza particular. de un aeropuerto, de un hotel, de un centro de congresos, es un terreno hostil por defecto. Interceptación, puntos de acceso falsos, captación de tráfico en claro. En los países donde el operador de telecomunicaciones está bajo control estatal, es la infraestructura misma la que es el adversario. Un IMSI-catcherFalsa estación base móvil que fuerza a los teléfonos a conectarse para interceptar tráfico e identificadores. en el vestíbulo de una feria profesional no es una fantasía de película de espías: es un equipo disponible comercialmente.

La SIM y el teléfono. Comprar una SIM local en un país desconocido es confiar su número y su tráfico a un operador del que no se sabe nada. El SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia. dirigido contra un directivo en desplazamiento, que desvía sus SMS de recuperación, es una operación al alcance de un atacante motivado. El teléfono dejado en la habitación del hotel durante una reunión es un teléfono que hay que considerar potencialmente comprometido a la vuelta.

La habitación y la caja fuerte. El dispositivo dejado en una habitación no está seguro, ni siquiera en la caja fuerte. El personal tiene una llave maestra. Los servicios locales también, en ciertos contextos. El evil maid attack —la alteración física de un dispositivo durante una ausencia— apunta precisamente a los viajeros que creen que guardar el portátil basta.

El regreso. El dispositivo que vuelve de una zona sensible puede traer consigo lo que ha contraído. Un implante, un perfil de configuración malicioso, un certificado inyectado. Sin un procedimiento de regreso, esa carga entra tranquilamente en la red de la empresa, y el incidente de campo se convierte en un incidente corporativo.

Lo que hace peligrosos estos vectores no es su sofisticación. Es que apuntan a un empleado solo, cansado, bajo presión de tiempo, sin nadie a quien llamar. La amenaza explota la soledad operativa del viajero. Una política que no reduce esa soledad no reduce ningún riesgo.

El enfoque correcto

El cambio cabe en una frase: una política de viajes que funciona cabe en una página A3 colgable, y está integrada en las herramientas, no enviada por correo una vez al año. Todo lo demás se deriva de estos dos principios: la concisión y la integración.

Tres niveles de país, no un gradiente difuso

La primera decisión es clasificar los destinos en tres niveles, y solo tres. No un sistema de siete escalones que nadie retiene.

Nivel 1 — Estándar. Europa occidental, América del Norte, países de baja tensión y con un Estado de derecho sólido. Riesgo residual normal. Medidas básicas: dispositivo cifrado, MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión. por hardware en las cuentas críticas, VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. de empresa disponible, gestor de contraseñasAplicación que almacena y genera contraseñas únicas para cada servicio.. Nada excepcional: es la higiene que estos empleados ya deberían tener en la oficina.

Nivel 2 — Reforzado. Zonas de tensión moderada, o destinos estándar con un viajero expuesto: acceso a datos sensibles (RR. HH., finanzas, expedientes de clientes), visibilidad mediática, función buscada. Medidas reforzadas: dispositivo de viaje dedicado con acceso limitado, eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. de empresa en lugar de una SIM local desconocida, briefing previo a la salida sistemático, sin conexión a los sistemas sensibles desde el Wi-Fi del hotel.

Nivel 3 — Máximo. Países de alta vigilancia, operaciones de M&A activas, litigios en curso, directivos expuestos. Dispositivo de viaje virgen —no el portátil habitual aligerado, sino un dispositivo que nunca ha contenido datos sensibles—. Comunicaciones cifradas de extremo a extremo (E2EECifrado de extremo a extremo: solo el emisor y el destinatario pueden leer el contenido.). Ningún acceso directo a los sistemas de empresa; todo pasa por un entorno intermedio desechable. Protocolo de requisa documentado y ensayado antes de la salida. Procedimiento de regreso obligatorio con cuarentena del dispositivo.

La clasificación de los países no es una opinión. Se apoya en fuentes estables —recomendaciones del INCIBE, avisos a viajeros del Ministerio de Asuntos Exteriores, retornos de sus propios viajeros— y se revisa dos veces al año. Un país puede cambiar de nivel tras unas elecciones, una crisis o un cambio legislativo. La matriz está viva.

El A3 colgable

El resultado de todo este trabajo no es un PDF de 47 páginas. Es una página A3 que el viajero puede colgar, fotografiar o recibir como ficha por destino. Cabe en cuatro bloques: el nivel del destino, el equipamiento requerido para ese nivel, la checklist de salida y el proceso de regreso. En el reverso, lo esencial de las situaciones de emergencia: dispositivo requisado, dispositivo robado, sospecha de compromiso, y un único número al que llamar, disponible 24/7.

Un empleado que parte con una ficha de una página «qué hace usted si le requisan el portátil en Nivel 3» está mejor preparado que el que firmó 47 páginas al incorporarse a la empresa y no volvió a pensar en ellas. La concisión no es una simplificación del contenido. Es la condición para que se lea y se retenga.

Integración en las herramientas de reserva

El punto que separa una política viva de una política muerta: la integración en el momento de la reserva. Cuando un empleado reserva un viaje a un destino de Nivel 2 o Nivel 3, el sistema de reservas dispara automáticamente el proceso adecuado —alerta a seguridad, generación de la ficha de destino, solicitud del dispositivo de viaje al departamento de TI, programación del briefing previo a la salida—. Nadie tiene que acordarse de lanzar el procedimiento. El sistema lo lanza.

Es exactamente lo contrario del correo anual. El correo supone que el empleado, en el momento adecuado, meses más tarde, recordará una instrucción y la aplicará por sí mismo. La integración no supone nada. Actúa en el momento del disparador —la reserva— y pone la herramienta adecuada en manos del viajero adecuado antes de la salida.

El kit facilitado, no descrito

Una política que exige un dispositivo cifrado sin facilitarlo transfiere la carga al empleado, que no tiene ni el presupuesto ni el mandato. La regla es sencilla: si una herramienta es necesaria para aplicar la política, la empresa la facilita. Dispositivo de viaje, eSIM de empresa, gestor de contraseñasAplicación que almacena y genera contraseñas únicas para cada servicio., cable de carga sin transferencia de datos para los puntos de carga desconocidos, y para el Nivel 3, un dispositivo de comunicación de emergencia configurado antes de la salida.

El escalado y el regreso, los dos eslabones que se olvidan

El empleado debe poder contactar con alguien competente a cualquier hora. Un incidente de campo nunca se produce durante el horario laboral de la sede. Un número de helpdesk que cierra a las 18 h no protege a nadie en Singapur. La persona al otro lado del teléfono debe poder decidir: revocar un acceso, lanzar un borrado remoto, activar la célula de crisis. Si el departamento de TI no dispone de esa disponibilidad internamente, un proveedor de respuesta a incidentesProceso estructurado de gestión de un incidente de seguridad: detección, contención, erradicación, recuperación. localizable 24/7 la aporta.

El regreso no es opcional para los Niveles 2 y 3. El dispositivo vuelve al departamento de TI para verificación —sistemáticamente, no «si cree que hay un problema»—. El empleado señala todo intento de incidente, incluso los que no dieron resultado. Para el Nivel 3, el dispositivo permanece en cuarentena durante un examen, y el viajero pasa un debrief. Es el eslabón que transforma un incidente de campo potencial en un no-evento, antes de que entre en la red.

Lo que esto implica en concreto

Angle de lecture

Para usted, como persona

Usted es el empleado que sufre la política de viajes. Quiere partir con su portátil personal, su teléfono personal, y trabajar tranquilamente desde el Marriott. La política le pide lo contrario, y usted la vive como un castigo. Veamos lo que de verdad le pide, y por qué no es una vejación.

Le pide partir con un dispositivo facilitado en lugar del suyo. No para vigilarlo. Porque si su portátil personal es requisado en la frontera o comprometido en el Wi-Fi del hotel, es toda su vida la que se va con él —sus fotos, sus cuentas bancarias, sus correos personales, no solo el expediente del cliente—. El dispositivo de viaje le protege a usted, tanto como protege a la empresa.

Le pide no conectarse a los sistemas sensibles desde la red del hotel. Porque esa red no es la suya, y usted no tiene forma de saber quién escucha. Use la conexión facilitada, la eSIM, el túnel puesto a disposición. Es más lento, a veces. También es lo que hace que nadie lea por encima de su hombro.

Le pide señalar todo incidente a la vuelta, incluso el que «no dio resultado». No para acusarle. Porque un dispositivo que ha pasado una semana en una zona de riesgo puede traer algo sin que usted lo vea, y un control de quince minutos le evita ser, sin saberlo, la puerta de entrada de un incidente.

La política no está ahí para complicarle el viaje. Está ahí para que, a la vuelta, el único recuerdo que conserve sea el desfase horario.

Para usted, CISO / Dirección de TI / directivo

El cambio de una política teatral a una política operativa modifica su enfoque en cinco puntos. Ninguno es un detalle de implementación: cada uno desplaza una decisión de gobernanza.

1. La política es un producto, no un documento. Deja de medir el éxito por la calidad de la redacción o el grosor del entregable. Lo mide por el uso: tasa de briefings realizados antes de la salida, tasa de dispositivos de regreso pasados por control, plazo de respuesta del número de emergencia. Un producto tiene métricas de uso. Un documento no las tiene. Consecuencia directa: integrar estas métricas en el reporting de seguridad trimestral, al mismo nivel que las vulnerabilidades abiertas. Lo que no se mide no se aplica.

2. El cumplimiento de NIS 2Directiva europea (2022/2555) que amplía las obligaciones de ciberseguridad a entidades esenciales e importantes. exige una gestión de riesgos, no un archivador. La directiva impone a las entidades esenciales e importantes una gestión de los riesgos de ciberseguridad que cubre la seguridad de las operaciones, de la que la movilidad forma parte. Una política de viajes no aplicada es un riesgo no tratado, y la responsabilidad del órgano de dirección es ahora explícita y personal. Consecuencia directa: la política de viajes entra en el perímetro de la gestión de riesgosCartografía de actores, motivaciones, capacidades e impactos potenciales contra un objetivo. documentada y auditable, no en un expediente de RR. HH. olvidado. La dirección firma el nivel de riesgo aceptado por nivel.

3. La integración en las herramientas es una decisión de arquitectura, no una opción de comodidad. Conectar el disparo del procedimiento al sistema de reservas requiere un trabajo entre TI, compras de viajes y seguridad. Es el punto más estructurante y el más descuidado. Sin él, vuelve a caer en el correo anual. Consecuencia directa: gestionar este proyecto como un proyecto de integración, con un presupuesto y un responsable, no como una actualización de procedimiento. El retorno de la inversión se mide en incidentes que no ocurrieron.

4. El deber de diligencia del empleador está comprometido, civil y penalmente. Enviar a un empleado a una zona de Nivel 3 sin preparación, sin herramientas, sin procedimiento de emergencia, expone al empleador. En caso de incidente —requisa, compromiso, daño físico—, la pregunta del juez o del asegurador no será «¿tenía usted una política?» sino «¿tenían sus empleados los medios para aplicarla?». Un documento sin herramientas es inoponible. Consecuencia directa: la trazabilidad de la preparación (briefing fechado, kit entregado, ficha transmitida) se convierte en una pieza de protección jurídica, a conservar. Protege a la empresa y al directivo personalmente.

5. La gobernanza de los datos sensibles no se detiene en el perímetro de TI. La DLPSolución que detecta y bloquea fugas de datos sensibles (correos, archivos, portapapeles)., el CASBSolución que se interpone entre los usuarios y las apps cloud para aplicar políticas de seguridad., el SIEMPlataforma que agrega los registros de seguridad, correlaciona, alerta y permite la investigación. protegen a la organización dentro del perímetro. No cubren al director jurídico solo en una habitación de hotel en Shanghái. La protección de las funciones expuestas en movilidad es un apartado distinto, con sus propias medidas y su propio responsable. Consecuencia directa: prever una línea «protección de viajeros sensibles» en el plan de seguridad, distinta de la seguridad del sistema de información genérico.

Para usted, dirección general

La política de viajes no es un documento técnico que delegar en el CISO y olvidar. Es un arbitraje, y un arbitraje es una decisión de dirección. Por un lado, la fricción que impone a sus equipos: dispositivos dedicados, briefings, controles a la vuelta, lentitudes. Por otro, el riesgo que acepta a cambio. Nadie más que usted puede colocar el cursor entre ambos, porque nadie más responde del negocio.

Tres preguntas zanjan este expediente, y son suyas.

¿Cuántos niveles de país se distinguen? Un solo nivel, y sobrerrestringe al comercial que va a Múnich a la vez que infraprotege al jurista que parte en due diligence a Shenzhen. Demasiados niveles, y nadie los retiene. El número correcto suele ser tres. Pero es usted quien valida dónde pasa la frontera entre «estándar» y «reforzado».

¿Quién decide que un viaje es de riesgo? Si es el propio empleado, en el momento de reservar, usted no tiene una política, tiene un deseo. La decisión debe dispararse automáticamente, en función del destino, sin depender de la memoria ni de la buena voluntad de quien parte.

¿Quién paga el material dedicado? Si la respuesta es «el empleado que se las arregle», su política está muerta antes de existir. Un dispositivo de viaje cuesta unos cientos de euros. Un expediente que se filtra durante una negociación cuesta la negociación. El arbitraje presupuestario es, también, el suyo.

Su CISO puede redactar la política, mantenerla, medirla. No puede decidir en su lugar el nivel de fricción aceptable para el negocio. Eso es la parte que no delega.

Errores que se ven todo el tiempo

  • La política uniforme. La misma regla para el comercial en una feria en Múnich y el jurista en due diligence en Shenzhen. Sobrerrestringe al uno, infraprotege al otro, y no la respeta nadie porque no corresponde a ninguna realidad.
  • El «qué» sin el «cómo». «Use una VPN en las redes públicas.» ¿Cuál? ¿Cómo activarla? ¿Qué hacer si está bloqueada, como en la mayoría de las configuraciones en China? La obligación sin el medio produce incumplimiento, no seguridad.
  • El correo anual. Una instrucción enviada una vez al año no es una política, es un recordatorio que nadie vuelve a leer en el momento en que lo necesitaría —meses más tarde, a las 23 h, en un aeropuerto extranjero.
  • El número de emergencia en horario de oficina. Un helpdesk que cierra a las 18 h hora de Madrid mientras el empleado está en crisis en Tokio no es un escalado. Es una ausencia de escalado disfrazada de procedimiento.
  • El regreso ignorado. Se hace briefing a la salida, se olvida a la vuelta. El dispositivo que vuelve de una zona sensible entra sin control en la red, y el incidente de campo se convierte en un incidente corporativo, a veces semanas más tarde.
  • El kit descrito pero no facilitado. Exigir un dispositivo de viaje cifrado sin facilitarlo es pedirle al empleado que compre y configure él mismo una herramienta que no domina. El resultado: parte con su portátil habitual, sin preparar.
  • La matriz de niveles congelada. Una clasificación de los países establecida una vez y nunca revisada se vuelve falsa al primer cambio geopolítico. Un país de Nivel 1 puede pasar a Nivel 3 tras una crisis.

Checklist accionable

  • N1 Clasificar los destinos en tres niveles (estándar / reforzado / máximo), no más
  • N1 Reducir la política a una página A3 colgable: nivel, equipamiento, salida, regreso
  • N1 Facilitar el kit por nivel (dispositivo de viaje, eSIM, gestor de contraseñas, cable sin datos)
  • N2 Establecer un número de emergencia localizable 24/7 por una persona capaz de decidir
  • N2 Imponer un briefing previo a la salida fechado para todo viaje de Nivel 2 y Nivel 3
  • N2 Hacer obligatorio el control del dispositivo a la vuelta para los Niveles 2 y 3
  • N2 Documentar el protocolo de requisa en frontera y ensayarlo antes de las misiones de Nivel 3
  • N3 Integrar el disparo del procedimiento en el sistema de reservas de viajes
  • N3 Medir la tasa de preparación Nivel 2/3 e integrarla en el reporting de seguridad trimestral
  • N3 Hacer firmar el nivel de riesgo aceptado por nivel al órgano de dirección (NIS 2)
  • N3 Revisar la matriz de clasificación de los países dos veces al año
  • N3 Probar un incidente de campo en simulacro una vez al año y medir el plazo de respuesta real

Para profundizar

Las recomendaciones del INCIBE sobre seguridad en movilidad dan la base técnica del kit por nivel. Los trabajos de la IATA sobre la seguridad de los viajes de negocios completan el apartado logístico y geográfico. Para la responsabilidad del órgano de dirección y el perímetro de gestión de riesgos, la directiva NIS 2Directiva europea (2022/2555) que amplía las obligaciones de ciberseguridad a entidades esenciales e importantes. es la referencia que poner en manos del departamento jurídico.

Sobre el terreno, tres artículos del manual prolongan directamente este. La preparación previa a la salida detalla el contenido operativo del briefing y de la ficha de destino. Respuesta a incidentes en campo cubre lo que pasa cuando el escalado se dispara de verdad. Y Directivo expuesto trata el perfil de Nivel 3 por excelencia, aquel cuyo desplazamiento vale un expediente completo para quien sabe observarlo.

Fuentes y lecturas complementarias

Artículos relacionados