Teletrabajo con seguridad

El Instituto Nacional de Ciberseguridad (INCIBE) termina de lanzar la Guía Ciberseguridad en el teletrabajo que pretende aproximar al empresario a esta práctica digital que está de plena actualidad, escenario donde el binomio amenazas- riesgos son cada vez más frecuentes y toda empresa precisa gestionar con seguridad con una política de teletrabajo ajustada a sus necesidades y objetivos empresariales.

Se puede definir el teletrabajo como la actividad laboral que se desarrolla desde otros lugares que no sean las propias instalaciones de la organización. Así los teletrabajadores pueden utilizar varios terminales también conocidos como ‘endpoints’, como ordenadores de sobremesa, portátiles, teléfonos inteligentes o tabletas, para leer y enviar correo electrónico, acceder a sitios web, crear y editar documentos, así como otras muchas tareas propias de su labor diaria.

Estos dispositivos pueden ser controlados por la organización, por terceros (contratistas/prestadores de servicios, interlocutores comerciales o proveedores de la organización) o por los propios usuarios cuando utilizan sus dispositivos para trabajar, lo
que se conoce como BYOD1.

La seguridad del teletrabajo también se ve afectada por el uso de estos dispositivos y de otros medios de almacenamiento extraíbles (memorias usb, discos duros, etc.), así como por el uso de aplicaciones en la nube y mecanismos de acceso remoto a la red y servidores de la empresa.

La mayoría de los teletrabajadores utilizan el acceso remoto (a través de VPN, escritorio remoto, etc.), lo que permite que los usuarios de una organización puedan acceder a los recursos informáticos de la empresa desde ubicaciones externas distintas de las instalaciones de la empresa.

Si queremos disponer de un entorno de teletrabajo seguro, el primer paso será establecer una política organizativa en la que se definan las normas a cumplir en los distintos escenarios o respecto al uso de los distintos sistemas y métodos de acceso. Esta política deberá contemplar distintos aspectos, como los siguientes, siempre teniendo en cuenta que cada organización tendrá sus necesidades particulares.

Estos son algunos elementos que ha de definir esta política:

  1. Relación de usuarios que disponen de la opción de trabajar en remoto. Será necesario llevar un control de las personas que por su perfil dentro de la empresa o las características de su trabajo tienen la opción de teletrabajar.
  2. Procedimientos para la solicitud y autorización del teletrabajo.
  3. Aplicaciones y recursos a los que tiene acceso cada usuario. Cada usuario tendrá acceso solo a las aplicaciones y recursos que requiera para realizar su trabajo, dependiendo del rol que desempeñe en la empresa. Se detallarán las aplicaciones colaborativas y de teleconferencia permitidas así como sus condiciones de uso evitando utilizar programas no controlados por la empresa, práctica conocida como ‘Shadow IT2’.
  4. Mecanismos de acceso seguro mediante contraseña. Para las credenciales de acceso se utilizarán siempre contraseñas robustas y el doble factor de autenticación siempre que sea posible, y forzando su cambio periódico. Este mecanismo puede estar ligado a la gestión de cuentas de usuario y control de accesos a través de servicios de directorio3 LDAP4 .
  5. Configuración que deberán tener los dispositivos desde los que se establezcan las conexiones remotas: sistema operativo, antivirus, control de actualizaciones, etc., tanto si son corporativos como si son aportados por el trabajador (BYOD). En el caso del BYOD, podemos controlar su configuración a través del fingerprinting de dispositivos, es decir, registrando una «huella digital» del dispositivo autorizado generada con datos de uso: navegador y plugins instalados, operador de telefonía, ubicación, horarios, etc.).
  6. Procedimiento y tecnología para cifrar los soportes de información para proteger los datos de la empresa de posibles accesos malintencionados y garantizar así su confidencialidad e integridad.
  7. Definición de la política de almacenamiento en los equipos de trabajo, así como de almacenamiento en la red corporativa.
  8. Procedimiento y planificación de las copias de seguridad periódicas de todos los soportes y comprobar regularmente que pueden restaurarse.
  9. Uso de conexiones seguras a través de una red privada virtual o VPN, del inglés Virtual Private Network, en lugar de las aplicaciones de escritorio remoto. De este modo, la información que intercambiamos entre nuestros equipos viaja cifrada a través de Internet. Se ha de evitar el uso de aplicaciones de escritorio remoto si no es a través de una VPN. Estas herramientas pueden crear puertas traseras (backdoors5) a través de las cuales podría comprometerse el servicio o las credenciales de acceso de usuario y por lo tanto permitir el acceso a los equipos corporativos. Además, al usar este tipo de aplicaciones podemos estar aceptando ciertos términos y condiciones de uso que podrían otorgar algún tipo de «privilegio» a las mismas sobre nuestros equipos e información.
  10. Virtualización de entornos de trabajo para eliminar los riesgos asociados al uso de un dispositivo propio.
  11. En el caso de utilizar dispositivos móviles para teletrabajar, la política debe incluir la utilización de aplicaciones de administración remota. Definir los criterios para evitar el uso de redes wifi públicas y utilizar las conexiones 4 G/5G en su lugar.
  12. Formar a los empleados antes de empezar a teletrabajar.
Teletrabajo con seguridad
Etiquetado en:
EnglishFrenchGermanRussianSpanish