La situación actual ha provocado que muchos de nosotros hayamos implementado el teletrabajo en nuestras empresas, para poder seguir llevando a cabo las tareas propias de nuestra organización y, a la vez, cumplir con la cuarentena para reducir los efectos de la pandemia.
Por ese motivo, queremos hacerles llegar las principales dudas y respuestas que nos han planteado para que puedan implementarlas en su organización y garantizar un teletrabajo seguro:
¿Cuáles son las medidas básicas de seguridad para teletrabajar con la seguridad que requieren los datos que tratamos?
Es importante que utilicemos contraseñas seguras y, a ser posible, con doble factor de autenticación. La contraseña debe ser robusta, que incluya letras en mayúscula, minúscula, símbolos y cifras. Cada usuario tendrá un identificador de acceso (user) con su contraseña que será personal.
Cuando se vaya a destinar un equipo a teletrabajo, se debe revisar y actualizar el sistema operativo y las aplicaciones que vayamos a utilizar para que cualquier fallo que identifique el desarrollador esté solventado. También hay que actualizar el antivirus a la última versión disponible.
En caso de que se utilicen soportes en que se almacene información (pendrives, discos externos…), así como directorios, carpetas o ficheros, se deben cifrar para evitar que personas no autorizadas puedan acceder a esos datos.
Hay que realizar copias de seguridad periódicas, a ser posible, con mayor asiduidad que cuando trabajamos de forma presencial, ya que el riesgo de pérdida de información es mayor cuantos más puntos de acceso se utilizan.
Los trabajadores deberán utilizar redes Wi-Fi privadas con una contraseña segura. Las redes abiertas no garantizan seguridad alguna sobre los datos que por ella se transfieren y podrían suponer una brecha de seguridad para su organización.
En caso de utilizar la Wi-Fi doméstica, hay que utilizar un cifrado WPA2. Para saber si nuestro cifrado doméstico es WPA2 podremos consultarlo con el proveedor de internet.
En caso de que no estemos en casa, usaremos la red de datos móvil 4G compartiendo internet desde el móvil, ya que este tipo de conexión garantiza por defecto varias medidas de seguridad que protegen la información desde y hacia el móvil.
¿Qué dispositivos son recomendables para teletrabajo?
Teniendo en cuenta la seguridad de los datos, los dispositivos corporativos son los más apropiados, ya que en ellos las empresas pueden garantizar e imponer las medidas de seguridad oportunas, teniendo en cuenta el tipo de información que se trata en su organización.
Si no hay otra opción, se podrá trabajar con dispositivos propios del empleado, pero eso supone que será necesario aplicar las medidas de seguridad necesarias para garantizar el tratamiento correcto de la información que se gestiona en el desarrollo de la actividad. Para eso, deberemos contar con la colaboración del trabajador a quien informaremos de los puntos clave a tener en cuenta en cuanto a actualización de programas y medidas de seguridad.
¿Debo tener en cuenta alguna otra cautela en cuanto al dispositivo utilizado?
En el caso de usar un dispositivo corporativo, como el uso solo será corporativo, se tendrá una cuenta de usuario con contraseña segura. Ese dispositivo solo se podrá utilizar con fines profesionales, evitando en todo momento el uso personal.
En caso de utilizar un dispositivo del empleado, para empezar, se deberá crear una cuenta de usuario diferenciada de la que usa habitualmente el usuario. Esa cuenta separará el espacio de trabajo y el espacio personal. Evitamos con eso que personas no autorizadas accedan a la información corporativa.
¿Cómo debo acceder de forma segura a los sistemas de la empresa?
Existen infinidad de programas para poder acceder remotamente a los equipos de la organización, pero el que más garantías que en cuanto a la seguridad nos ofrece es el acceso mediante una red privada virtual (VPN).
Si usamos un escritorio remoto, igualmente es recomendable acceder mediante una VPN.
En caso de que se trabaje en la nube, es necesario revisar el acuerdo de nivel para garantizar una óptima seguridad.
Pero ¿Qué es una VPN?
Una VPN (Red Virtual Privada) es una forma de conectar un equipo externo al servidor de una organización. Funciona como un túnel privado por el que pasa la información del ordenador al servidor y del servidor al ordenador sin que pueda ser vista desde fuera ya que la información va cifrada. Además, sirve para verificar nuestra autenticidad porque el acceso de ese ‘túnel’ lleva una barrera en que solo los autorizados por la VPN pueden entrar. La VPN puede ser contratada o propia. En caso de que sea contratada hay que utilizar siempre programas confiables ya que ese ‘túnel’, que es de una empresa externa, va a servir de paso para información importante de nuestra organización y un programa dudoso puede suponer precisamente un punto vulnerable por donde se podría dar una fuga de información.
En caso de opten por una VPN es necesario contar con profesionales expertos en nuestra organización para ofrecer control y mantenimiento. Una VPN mal configurada puede suponer la entrada de ciberdelincuentes a su servidor. Por el contrario, una VPN propia bien configurada nos garantiza una comunicación segura por el cifrado y sin que servidores externos intervengan en el intercambio de información.
¿Cómo sé si la VPN que voy a contratar es fiable?
Como siempre hay que aplicar criterios de sentido común. Antes de contratarla investigue sobre ella y revise el servicio que le ofrecen. Contraste si la compatibilidad con sus equipos es correcta y tenga en cuenta la cantidad de conexiones que permite para garantizar que cubre sus necesidades.
Si la VPN se va a instalar mediante app en el móvil, tenga en cuenta qué permisos solicita para su instalación y lea las opiniones de otros usuarios. No sería recomendable una VPN que pide muchos permisos o solicita acceso a datos que no tienen nada que ver con el servicio.
Siempre que sea posible opte por una VPN que cifre extremo a extremo para garantizar que todos los datos, no solo algunos, van cifrados.
Elija VPN cuyos servidores estén en países de la Unión Europea. Así se garantiza que la resolución sea más ágil en el caso de que haya alguna controversia.
Lea bien la política de privacidad y analice qué datos comparten con terceros, si es que lo hacen. Es habitual que las VPN gratuitas compartan algún tipo de información con terceros, por lo que es muy recomendable evitarlas y optar por VPN que no contengan publicidad.
Pero lo más recomendable es contar con personal formado o con una empresa que le preste servicio informático. En ambos casos serán quienes mejor podrán orientarnos sobre el servicio que necesitamos.
¿Si accedo mediante una VPN me garantizo no ser víctima de un ciberataque?
El riesgo cero no existe. Acceder mediante una VPN reduce riesgo, pero hay más medidas que se deben sumar para que sea más difícil “ciberatacar” su organización.
Además de la conexión mediante VPN, hay que tener la misma precaución con los correo-e y los archivos adjuntos que recibimos. También hay que tener cuidado con los enlaces a páginas fraudulentas que puedan incluir.
En caso de que tenga sospecha sobre un correo-e, el contenido de un archivo adjunto o el hipervínculo de un enlace, consulte con el remitente antes de abrirlo. Siempre es mejor garantizar la autenticidad de un documento antes que arriesgarnos a dañar un equipo o la información que este incluye.
Hay que usar aplicaciones oficiales acreditadas por el desarrollador o que correspondan a un organismo oficial para garantizar que nuestros datos, o los datos que incluyamos en la aplicación, sean utilizados de forma legítima.
También debemos evitar visitar enlaces no fiables sobre noticias relativas a la crisis de coronavirus. En caso de querer informarse hay que acudir a fuentes oficiales o de contrastada solvencia y evitar compartir información de dudosa veracidad, ya que sin pretenderlo se puede generar alarma o inseguridad con datos que no están contrastados y pueden no ser veraces o serlo solo parcialmente.
¿Y si lo que necesito es usar el ordenador de mi oficina pero sin estar en la oficina?
En ese caso será necesario que tenga una VPN + Escritorio remoto. El escritorio remoto le permite conectar a su equipo de oficina desde un equipo externo. Podrá ver en el ordenador de su casa las carpetas que tiene en su ordenador de la oficina, pero siempre deberemos trabajar bajo la seguridad del intercambio de datos de la VPN.
Puede que conozca programas de conexión remota que se conectan a su ordenador y pueden moverse por él, ver archivos, carpetas… Esos programas son muy útiles para plazos cortos, como suele ser en casos de necesitar asistencia remota. En cambio, para el uso prolongado no garantizan seguridad, al contrario, ponen de manifiesto las vulnerabilidades de nuestra conexión y son una invitación para que ciberdelincuentes intenten atacar su sistema. Para evitarlo primero hay que conectar a la VPN, para crear ese ‘túnel’ seguro, y luego acceder al escritorio remoto, cuando sabemos que la conexión es segura y está encriptada.
Si hemos decidido implementar todas esas medidas de seguridad ¿hay que tener algo más en cuenta?
Implementar el teletrabajo no es una cuestión que se realice rápidamente. Es conveniente que una vez se ha decidido qué dispositivos se van a destinar a teletrabajo, qué tipo de conexión se va a permitir y mediante qué conexión se va a acceder al servidor, se realicen pruebas previas.
Esas pruebas no solo deben ser para comprobar que los equipos de teletrabajo funcionan y conectan correctamente, sino que también se debe analizar si los sistemas internos de la empresa soportan el tráfico generado por el teletrabajo. Si su organización tiene un volumen considerable de empleados que van a conectarse de forma remota es recomendable realizar pruebas de carga en escenarios simulados antes de permitir teletrabajar a todo el personal.
Esperamos que estas preguntas y respuestas hayan aclarado alguna de las dudas que pudiesen tener sobre el teletrabajo.
En caso de que tenga alguna otra pregunta sobre la seguridad que deben garantizar sus equipos, no dude en ponerse en contacto con nosotros para ayudarle en su caso concreto.
Si tiene alguna duda póngase en contacto con nosotros, estaremos encantados de atender cualquier consulta.