Si necesitas teletrabajar sigue estos consejos de seguridad

El teletrabajo es una alternativa que permite realizar las labores cotidianas desde una ubicación distinta a la sede de la empresa. Este método de trabajo gana cada vez más peso en organizaciones de cualquier índole y tamaño, ya que entre sus beneficios se encuentra la conciliación laboral o contar con talento afincado en lugares distantes. En situaciones excepcionales, como la actual crisis sanitaria en las que los empleados no pueden o no deben acudir al centro de trabajo, el teletrabajo puede ser una solución.

Permitir el teletrabajo sin seguir unas pautas de seguridad puede ser un riesgo para la empresa, ya que los ciberdelincuentes podrían acceder a la red de la organización y la información que se gestiona, o los empleados podrían hacer uso de herramientas no permitidas poniendo en riesgo a la empresa. Por ello, antes de permitir el teletrabajo asegúrate de cumplir estas buenas prácticas y recomendaciones de seguridad.

¿Cómo acceder de forma segura a los sistemas e información de la empresa?

Acceder a la red interna de la organización desde una ubicación externa, como puede ser el hogar de los empleados, para utilizar información de la empresa y cualquier otra herramienta como el correo electrónico o el ERP es vital para poder teletrabajar. Para realizarlo de manera segura y que la información se transmita respetando su confidencialidad es recomendable utilizar una red privada virtual o VPN por sus siglas en inglés Virtual Private Network.

Red privada virtual o VPN

Una VPN crea una conexión privada y cifrada evitando que los ciberdelincuentes puedan espiar las comunicaciones. Las VPN, al igual que sucede con una página web, pueden contratarse como servicio a un proveedor externo o se pueden instalar y administrar internamente por la empresa.

Las VPN como servicio tienen como principal ventaja que toda la administración y gestión la realiza una empresa externa, por lo que los periodos para implantarla son muy reducidos. Sin embargo, se pierde en privacidad porque la información de la empresa se transmite por una tercero. En nuestro artículo Conéctate a tu empresa de forma segura desde cualquier sitio con una VPN se describe más en detalle qué aspectos debemos tener en cuenta para escoger una VPN confiable.

La otra opción es utilizar una VPN propia de la organización. De esta manera, en ningún momento la información es gestionada por un tercero, lo que ofrece un extra de privacidad. No obstante, instalar un servicio de VPN propio lleva más tiempo que contratarlo. Además, se requiere personal especializado para que lo haga, ya que si no se configura correctamente puede convertirse en la puerta de entrada de los ciberdelincuentes a la organización. Si quieres instalar una VPN propia puedes encontrar la solución que más se adapte a tus necesidades en nuestro Catálogo de empresas y soluciones de ciberseguridad.

VPN + escritorio remoto

Las soluciones de escritorio remoto permiten conectar un dispositivo y utilizarlo de la misma forma que si se estuviera físicamente delante del equipo. Uno de los escritorios remotos más conocido es RDP, ya que se encuentra integrado en el sistema operativo Windows, aunque existen otras muchas opciones como las disponibles en nuestro Catálogo.

Habilitar el acceso al escritorio desde Internet no es recomendable, puesto que, en caso de contar con una vulnerabilidad o configuración inadecuada, los ciberdelincuentes lo tendrán más fácil para entrar en la red corporativa. Para evitar esta situación y ofrecer un extra de seguridad y privacidad a las comunicaciones, es recomendable utilizar a la vez una VPN y el escritorio remoto. Cuando un empleado desee acceder a su cuenta por medio del escritorio remoto, primero deberá acceder a la VPN, la cual proporcionará el acceso al escritorio remoto, así se contara con dos sistemas distintos que harán el sistema más robusto. Si vas utilizar una VPN con el escritorio remoto, en el artículo ¿Es seguro tu escritorio remoto? tienes ocho consejos que no puedes dejar de aplicar. Léelos en el epígrafe «Recomendaciones de seguridad para el escritorio remoto» del citado artículo.

¿Qué dispositivos utilizar para teletrabajar?

Una cuestión que se debe resolver es qué dispositivos van a utilizar los empleados para teletrabajar: corporativos o personales. En el lugar de trabajo disponemos de dispositivos corporativos que están controlados por los técnicos de Sistemas, que los mantienen actualizados y con medidas de seguridad. Tendremos que hacer lo imposible para que esto no varíe al teletrabajar.

Dispositivos corporativos la mejor opción

Preferiblemente las labores de teletrabajo se realizarán utilizando dispositivos corporativos, ya que este tipo de aparatos cuentan con las políticas de seguridad que la empresa estima oportunas. Además, los dispositivos corporativos tienen instalado el software necesario para realizar el trabajo. En caso de que el software utilizado para trabajar requiera licencia de uso no es necesario adquirir una nueva, por lo que no habrá que realizar una nueva inversión.

Dispositivos personales para teletrabajar

En caso de no poder utilizar dispositivos corporativos la única opción es que los empleados utilicen sus dispositivos personalespolítica conocida como BYOD o Bring Your Own Device. Los dispositivos personales, aunque no cuenten con las mismas políticas de seguridad que los corporativos, se pueden utilizar siempre que se sigan unas recomendaciones de seguridad, como utilizar contraseñas robustas, mantener actualizado el dispositivo o realizar copias de seguridad.

Crea un entorno de trabajo seguro

Tanto en tu casa como en tu oficina tienes que mantener el puesto de trabajo seguro. Para ello, además de las consideraciones antes mencionadas has de hacer un uso adecuado de dispositivos extraíbles, utilizar de forma segura las herramientas colaborativas en la nube o tomar precauciones cuando hagas videoconferencias; pero, ¿puedes utilizar cualquier red para conectarte a Internet?

Protege tu red doméstica

Teletrabajar en un entorno seguro también es una parte importante para evitar incidentes de seguridad. Para ello, se utilizará preferiblemente la red doméstica, ya que sobre esta se tiene un mayor control y se evitará utilizar redes wifi públicas. Es recomendable que la red doméstica cuente con una serie de medidas de seguridad que tendremos que comprobar, como utilizar una contraseña de acceso lo más robusta posible y deshabilitar WPS o utilizar cifrado WPA2 como mínimo. Puedes obtener más información sobre cómo conseguir una red wifi segura con nuestra guía Seguridad en redes wifi: una guía de aproximación para el empresario.

Red de datos móvil como plan B

Cuando no sea posible utilizar la red doméstica para teletrabajar o cualquier otra red considerada segura como alternativa, se utilizará la red de datos móvil 4G o 5G. Este tipo de cobertura cuenta por defecto con varias medidas de seguridad que protegen la información desde y hacia el dispositivo, lo que la convierte en un canal de comunicación seguro. Además, los dispositivos móviles actuales pueden convertirse en punto de acceso compartiendo la cobertura móvil, lo que hace que otros dispositivos, como ordenadores portátiles o tablets, sean utilizadas también.

Periodo de implantación y pruebas

Implantar el teletrabajo en la empresa no es una cuestión que se realice rápidamente porque se deben valorar diferentes escenarios y configuraciones. Una implementación demasiado rápida del teletrabajo, sin respetar las recomendaciones de seguridad, puede suponer la apertura de la puerta de la empresa a los ciberdelincuentes o el vernos envueltos en una brecha de información accidental. Un incidente de seguridad ocasionado por habilitar el teletrabajo de una manera insegura puede provocar unas pérdidas económicas y reputacionales mucho peores que no permitirlo y dejar de trabajar unos días.

Otro aspecto a tener en cuenta, que afecta sobre todo a grandes organizaciones, es la carga de trabajo que ocasione en los sistemas internos de la empresa el teletrabajo. Cuando una cantidad más o menos grande de empleados realiza teletrabajo se pueden producir comportamientos inestables del sistema. Una buena práctica, siempre que sea posible, es realizar pruebas de carga en escenarios simulados antes de permitir teletrabajar a un gran volumen de empleados.

Si ya has repasado todas las consideraciones anteriores puedes lanzar a tus empleados o a ti mismo al teletrabajo. Ojalá pase pronto la crisis sanitaria y solo tengas que usarlo voluntariamente, para permitir conciliar o para contar con talento remoto.

Ciberseguridad

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática también se refiere a la práctica de defender las computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos.

En resumen, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quién y cuándo puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización en organización. Independientemente, cualquier compañía con una red debe tener una política de seguridad que se dirija a la conveniencia y la coordinación.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

Organismos oficiales de seguridad informática

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el Computer Emergency Response Team Coordination Center del Software Engineering Institute de la Universidad Carnegie Mellon, que es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

España:

El Instituto Nacional de Ciberseguridad (INCIBE) es un organismo dependiente de Red.es y del Ministerio de Energía, Turismo y Agenda Digital de España.

Unión Europea:

La Comisión Europea ha decidido crear el Centro Europeo de Ciberdelincuencia (EC3) abrió efectivamente el 1 de enero de 2013 y será el punto central de la lucha de la UE contra la delincuencia cibernética, contribuyendo a una reacción más rápida a los delitos en línea. Se prestará apoyo a los Estados miembros y las instituciones de la UE en la construcción de una capacidad operacional y analítico para la investigación , así como la cooperación con los socios internacionales.