Decálogo de buenas prácticas para un teletrabajo seguro
A estas alturas todos somos ya más que conscientes de la crisis sanitaria en la que estamos desgraciadamente envueltos. Una de las medidas que han establecido las autoridades es el teletrabajo y por ello, debemos tener más cuidado que nunca, ya que los ciberatacantes no descansan y pueden afectarnos a nosotros y a nuestras empresas.
Desde Datalia hemos elaborado un decálogo de buenas prácticas de ciberseguridad para que el teletrabajo no sea peligroso para nuestra información:
1. Trabajar a través de conexiones seguras (VPN, virtualización)
Una de las alternativas más populares son las Redes Privadas Virtuales (VPN-Virtual Private Network). A grandes rasgos, estas redes hacen que un usuario pueda conectarse de forma segura, para él y para la organización, a servicios o servidores que no se encuentran directamente accesibles a Internet. Se trata de una tecnología relativamente sencilla y que habitualmente se puede configurar fácilmente por medio del cortafuegos (firewall)
Alternativamente podemos utilizar soluciones de virtualización, tipo VDI (Virtual Desktop Infrastructure), propuesta que proporciona protección en el acceso de cada usuario a los servicios.
En cualquier caso, debemos evitar accesos directos a través del servicio de escritorio remoto de Windows, ya que constituye un punto de entrada por el que los ciberdelincuentes están consiguiendo acceder a servidores con permisos de administrador. Y está pasando en organizaciones de nuestro entorno en La Rioja y Navarra
2. Trabajar con equipos portátiles securizados proporcionados por la organización
Es altamente recomendable proporcionar a los trabajadores equipos de la propia la empresa y, que obviamente, estos estén actualizados y cuenten con una serie de medidas de seguridad. Esto es especialmente importante si los equipos se van a conectar a los sistemas de la empresa, en cuyo caso es fundamental que todos los dispositivos conectados cumplan con los requisitos de seguridad establecidos
3. Los equipos portátiles tendrán un bastionado o configuración segura realizada por la organización
Las empresas alojamos toda la información confidencial y datos personales en nuestros ordenadores y servidores, cuyas medidas de seguridad a menudo descuidamos o directamente desconocemos.
Una manera eficaz de proteger la información es realizar una configuración segura o bastionado de los servidores y ordenadores que tenemos en nuestra empresa, incorporando de esta manera a los ordenadores de la empresa de manera centralizada, medidas de seguridad. Entre las principales destacan:
- Software antiwalware actualizado.
- Firewall del equipo activado.
- Acceso restringido por contraseña.
- Bloqueo automático de sesión
4. Tener actualizado el puesto de trabajo
Sin duda, algo indispensable para evitar las vulnerabilidades de seguridad es realizar una correcta gestión de las actualizaciones: tanto a nivel sistema operativo como aplicaciones o dispositivos móviles. De lo contrario nos exponemos a todo tipo de riesgos: robo de información, pérdida de privacidad, suplantación de identidad, etc.
En este sentido debemos:
- Vigilar el estado de actualización de todos nuestros dispositivos y aplicaciones.
- Elegir la opción de actualizaciones automáticas siempre que esté disponible.
- Instalar las actualizaciones tan pronto como se publiquen, especialmente las de los sistemas operativos, navegadores y programas antivirus
5. Cerrar las aplicaciones o conexiones que no se estén utilizando
El propio Centro Criptológico Nacional del Centro Nacional de Inteligencia (CNI) aconseja asegurarse de cerrar todas las conexiones que no sean estrictamente necesarias y las aplicaciones que no se estén utilizando.
Es un principio básico de ciberseguridad que aquellas aplicaciones que no sean requeridas para el trabajo deberían desinstalarse. Cuanto menos puertas de entrada proporcionemos a los ciberdelincuentes, mejor.
6. Programar análisis periódico completo de antivirus para los puestos de trabajo
Es importante recordar la necesidad de realizar análisis periódicos que examinen por completo el equipo en busca del malware, para así confirmar la no existencia de elementos maliciosos que comprometan su seguridad.
7. Tener registros y auditorías de las conexiones remotas
Es conveniente habilitar el registro de las conexiones remotas que se lleven a cabo para que, en caso de que ocurriera una actividad inusual, tener evidencias de quién está conectado en ese momento, qué ha cambiado, etc.
En este aspecto debemos tener en cuenta que el Estatuto de los Trabajadores habilita a la empresa a implementar medidas de control para verificar las obligaciones del trabajador. Algunas de estas medidas pueden ser poder auditar los sistemas, así como geolocalizar ciertos dispositivos. Ahora bien, como ya advertimos en nuestro anterior post, siempre deberemos informar al trabajador sobre estas medidas. Si en nuestra entidad existiesen representantes de los trabajadores, previamente a la implantación de estas medidas, deberemos informarles. Si no cumplimos con esta exigencia podemos encontrarnos ante incumplimientos de la normativa que pueden transformarse en sanciones económicas.
8. Habilitar canales de comunicación para reuniones vía internet
En estos días en los que las reuniones presenciales se han suspendido, podemos continuar nuestra actividad mediante alternativas virtuales por medio de videoconferencias. Esta medida no solo es útil para la comunicación con clientes, sino también para poder seguir comunicándonos con el que es habitualmente nuestro equipo de trabajo.
Pero asegúrate de la seguridad de la solución que escojas, analizando su política de privacidad y analizando qué seguridad ofrece. En estos días estamos viendo noticias de alguna solución de videoconferencia con información inquietante acerca de la seguridad.
9. Bloquear las conexiones de dispositivos USB o escanear todos los conectados
La recomendación de esta medida viene dada principalmente por dos motivos:
- Si introducimos un dispositivo USB particular el cual desconocemos si puede estar infectado, podemos comprometer la seguridad de todo el equipo
- El deseo de evitar que el trabajador copie información para la cual no está autorizado y la destine a otros usos indebidos
10. Tener actualizado el listado de personas que pueden acceder remotamente a los equipos de la organización con la dirección IP de acceso y el medio de conexión.
Al tener que dar acceso de forma remota a los servidores de la empresa, existe mayor riesgo para posibles accesos no autorizados, por lo cual es recomendable hacer un exhaustivo control de los usuarios que sí pueden tener acceso de forma autorizada.
Puedes descargarte un archivo con un resumen de estas 10 medidas. ¿Necesitas ayuda? Contacta con nosotros, estamos para ayudarte