El Teletrabajo
Es una alternativa cada vez más utilizada por todo tipo de organizaciones, dado que sus beneficios son amplios, desde aprovechar el talento remoto hasta facilitar la conciliación familiar, mejoras para los trabajadores en movilidad o para quienes ofrecen soporte al cliente.
Se deben implementar en esta modalidad de trabajo políticas y recomendaciones para minimizar riesgos para la privacidad y seguridad de la organización.
Definir la política de “Teletrabajo”
Es recomendable elaborar una política con el objetivo de especificar los aspectos técnicos y organizativos que definen el teletrabajo, estableciendo en forma clara los usos permitidos de los servicios, características y configuraciones de las tecnologías que se han de utilizar para el acceso remoto, como lo son los tipos de dispositivos, redes permitidas, franjas horarias, wifi doméstica, entre otros; previendo no sufrir incidentes de seguridad que comprometan la privacidad de la información y de las personas usuarias..
Objetivos de seguridad en la modalidad de Teletrabajo
Independientemente de la ubicación donde se realice el trabajo (en la organización o en la modalidad de teletrabajo), el principal objetivo es proteger la seguridad de la información, asegurando los pilares de la ciberseguridad:
- Disponibilidad: asegurar el acceso a los recursos cuando sea necesario.
- Autenticidad: garantizar que la información está libre de modificaciones no autorizadas.
- Integridad: es la propiedad de la información por la que se garantiza que los datos son legítimos, es decir, no han sido modificados o alterados sin permiso.
- Confidencialidad: se garantiza que la información únicamente es accesible por personal autorizado.
- Trazabilidad: permite llevar un registro de la actividad llevada a cabo sobre un determinado activo.
Amenazas
La modalidad del teletrabajo puede permitir nuevas amenazas que afecten la seguridad y privacidad de la información, tanto de los dispositivos como de los servidores, por lo tanto se debe de tomar en cuenta:
- Ausencia de controles de seguridad física: cuando se teletrabaja, los dispositivos pueden quedar expuestos a personas que no deben tener acceso a los mismos, como por ejemplo en hoteles, salas de espera o incluso en casa. Es importante aplicar las medidas de seguridad necesarias para evitar accesos no autorizados a estos dispositivos y a la información que gestionan tales como habilitar una clave de desbloqueo o el cifrado de la información almacenada en el dispositivo.
- Errores de configuración: el software que permite el teletrabajo, tanto en dispositivos cliente como servidores, debe estar configurado siguiendo unos requisitos de seguridad. Por ello es recomendable que lo realice personal especializado.
- Redes inseguras: cuando se teletrabaja, es habitual utilizar redes consideradas inseguras ya que no están bajo el control de la organización. Para evitar accesos no autorizados a la información en tránsito es recomendable utilizar soluciones VPN, las cuales protegen toda la información en tránsito incluso en redes inseguras como redes wifi públicas.
- Dispositivos inseguros: el uso de dispositivos inseguros, bien sean propiedad de la organización o del empleado pueden suponer un riesgo. Las principales amenazas a tener en cuenta son la infección por malware y el software desactualizado, por lo que se debe contar con antivirus en todos los dispositivos y todo el software actualizado a la última versión disponible.
- Accesos no autorizados: permitir el acceso a sistemas organizacionales a través de Internet siempre entraña riesgos, desde empleados sin autorización a ciberdelincuentes, todos ellos pueden intentar acceder de forma fraudulenta a la información de la organización. Para evitarlo, se deben habilitar mecanismos de autenticación robustos y siempre que sea posible, habilitar un doble factor de autenticación.
- Falta de formación: la falta de formación o conocimiento de las políticas de seguridad de la organización por parte de los empleados pueden poner en riesgo la seguridad de la información.
- Software desactualizado o fuentes no confiables: No mantener actualizado el software tanto de los dispositivos cliente, como de los servidores corporativos, incluidos los que permiten llevar a cabo el teletrabajo, puede suponer un riesgo para la seguridad de la organización. De igual forma, instalar software no autorizado o procedente de fuentes no legítimas puede suponer el origen de un incidente de seguridad.
- Robo, pérdida o destrucción del dispositivo. Los dispositivos que permiten el teletrabajo, sobre todo aquellos utilizados por trabajadores con movilidad, se caracterizan por ser portátiles y de tamaño y peso contenidos. Estas características los hacen susceptibles a pérdidas y robos, lo que puede suponer un riesgo para la información gestionada si esta no está protegida adecuadamente.
- Aplicaciones colaborativas. Las aplicaciones colaborativas, además de permitir interactuar con otros empleados de la organización o colaboradores, pueden suponer un riesgo si no están configuradas adecuadamente, ya que pueden abrir la puerta a los ciberdelincuentes.
- Almacenamiento en nube (cloud): Utilizar servicios de almacenamiento en la nube que no han sido aprobados en la política de la organización, o utilizarlos sin seguir medidas de privacidad mínimas, pueden poner en riesgo la información que se almacena.
Métodos de acceso remoto
Para permitir el acceso remoto de los empleados a los recursos corporativos, existen varias opciones, siendo las más utilizadas el uso de VPN o redes privadas virtuales en combinación con otros sistemas, como VDI (escritorio virtual), acceso a través de escritorio remoto, portales de aplicaciones y acceso directo a aplicaciones.
Seleccionar la opción más adecuada para la organización es crucial, considerándose las implicaciones de seguridad de cada método y si cumple con los requisitos de seguridad necesarios para llevar a cabo las tareas organizacionales que van a realizarse en remoto.
Protegiendo el servidor y los dispositivos cliente
Tanto los servidores que permiten el acceso remoto a los recursos organizacionales, como los dispositivos utilizados por los empleados, deben contar con ciertos requisitos de seguridad que eviten accesos no autorizados a la información de la organización.
La propia formación de los empleados, aplicar una política de actualización de software o configurar adecuadamente la red doméstica son algunas de las consideraciones a tener en cuenta y que permitirán teletrabajar bajo los mismos requisitos de seguridad que si se estuviera haciendo desde la organización.