Contexto
Como consecuencia de la actual Pandemia de COVID-19 muchas organizaciones se han visto, abocadas en un tiempo muy reducido y, porque no forzadas, a implantar soluciones de teletrabajo como medida para evitar contagios, facilitar la confinación de los empleados y mantener los servicios organizativos operativos.
No obstante, las soluciones de Teletrabajo abarcan un gran número de aspectos a tener en cuenta: dispositivos corporativos, conexión a internet, aplicaciones de chat y/o mensajería, videoconferencia, acceso remoto a la red y sistemas de la organización, etc. Todo ello, sin contar con las medidas de seguridad habituales dentro del dominio de la organización derivan en un incremento sustancial de los riesgos para la seguridad de la información y de los datos personales.
Asimismo, debemos recordar que el articulo 32 del Reglamento General de Protección de Datos (RGPD), establece la obligación a las Organizaciones, tanto si actúan como responsables del tratamiento como Encargados del tratamiento, de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Por este motivo, en este artículo queremos proponer una serie de pautas generales que permitan garantizar la seguridad y la protección de datos personales de las herramientas y soluciones utilizadas en el teletrabajo para proteger la confidencialidad, integridad y disponibilidad de la información, como si se estuviese en la oficina. Una responsabilidad de todos, tanto de los administradores de las redes y sistemas, como del propio trabajador.
Pautas para la seguridad de las soluciones de Teletrabajo.
- Implementar una política de teletrabajo para proteger la información accedida, tratada o almacenada en emplazamientos de teletrabajo
La Organización debe instrumentar una política de teletrabajo que defina las reglas, condiciones y restricciones para el uso adecuado de los de los dispositivos y medios utilizados en las soluciones teletrabajo, todo ello, con el propósito de alcanzar una mayor eficacia y seguridad en su uso, prevenir incidentes de seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales o confidenciales y cómo actuar cuando se produzcan incidentes de seguridad.
- Implementar y potenciar canales para la gestión de incidencias en el Teletrabajo.
Es de vital importancia que se cree un canal de notificación de incidencias, para resolver dudas, solucionar incidentes y dar apoyo técnico al personal. Si no existe dicho canal, es muy probable que ante el mínimo problema el empleado o usuario de teletrabajo se busque la vida el mismo, lo que puede derivar en acciones que pongan en peligro la seguridad de la información y los datos personales.
- Protección física de los equipos de teletrabajo
Por cuestiones de movilidad y para trabajar indistintamente desde casa o desde la oficina, el modelo de teletrabajo emplea en la mayoría de los casos ordenadores portátiles, tablets, o cualquier otro dispositivo móvil. Sin embargo, precisamente por el hecho de ser portables, fáciles de perder, y susceptibles de ser robados, deben implementarse controles de seguridad para su protección física:
- Protecciones antirrobo
Para evitar los robos de dispositivos portátiles es recomendable aplicar medidas de sentido común como no dejarlo en el coche (aunque no esté a la vista), no dejarlo desatendido, evitar sacarlo de casa si no es necesario, etc. Además, pueden adquirirse candados de seguridad para portátiles, los cuales sirven para anclar el dispositivo a algún elemento del mobiliario,
- Implementar medidas de localización o borrado remoto
Existen múltiples aplicaciones tanto para dispositivos móviles como para PC que permiten administrar remotamente los dispositivos extraviados o robados. Las funcionalidades típicas de estos programas se encuentran en intentar localizar el dispositivo o hacer un borrado completo del equipo si no va a ser posible recuperarlo.
- Implementar protección contra daños físicos
Para transportar el equipo portátil entre oficina y el lugar de teletrabajo es necesario disponer de un maletín que ofrezca resistencia ante caídas, golpes, etc.
- Establecer un control activo de las aplicaciones permitidas.
El uso de soluciones de teletrabajo no debe de implicar un incremento del uso de aplicaciones o herramientas no autorizadas por la Organización por parte de los usuarios, solo deberán de utilizar aquellas aplicaciones permitidas y con las medidas de seguridad oportunas.
Se debe evitar el descontrol en el uso de aplicaciones no permitidas
- Canal seguro de comunicaciones
Las garantizar la seguridad de las soluciones de teletrabajo debe de establecerse un canal de comunicaciones seguras entre el dispositivo de teletrabajo empleados por el usuario y la red de la organización.
Para el establecimiento de la comunicación será necesario validar la identidad del equipo; es decir, confirmar que se trata de uno de la organización, por ejemplo, estableciendo la comunicación VPN mediante autenticación con certificado de máquina
- Seguridad de las contraseñas.
Los usuarios de teletrabajo deben de comprometerse a utilizar contraseñas que sean verdaderamente complejas y seguras, especialmente cuando se utilizan los servicios de acceso remoto para acceder a la red interna de la Organización, ya que con ya que el hackeo de la contraseña se podría acceder remotamente a los sistemas.
Las contraseñas deben custodiarse con extremo cuidado y deben seguirse las mejores prácticas posibles las directivas de contraseñas: caducidad, complejidad, bloqueo por intentos fallidos, bloqueo por inactividad, revisiones de acceso, etc.
Por otro lado, es recomendable utilizar generadores de contraseñas para asegurar la complejidad de estas combinando mayúsculas, minúsculas, números y símbolos. (ejemplo LassPast, KeePass, Keeper, etc).
En https://haveibeenpwned.com/ podemos introducir nuestra cuenta de correo electrónico para verificar si esta se ha visto comprometida anteriormente, avisándonos en lugares (webs) han perdido nuestras credenciales, lo que nos obligara a cambiar las contraseña de dichos lugares.
En https://haveibeenpwned.com/Passwords podemos verificar si la contraseña que utilizamos ha aparecido anteriormente en una violación de datos y, por lo tanto, debe desestimarse su uso y cambiarla en aquellos servicios que se están utilizando actualmente.
Otra de las funcionalidades de https://haveibeenpwned.com es que posee un servicio de notificaciones para recibir avisos cuando se ha producido una violación de datos o brechas de seguridad en algún lugar o web donde utilizamos la cuenta de correo electrónico.
Finalmente, es altamente recomendable la utilización de un sistema de autenticación de doble factor. El doble factor es un proceso de seguridad en el que el usuario tiene que confirmar su identidad mediante dos métodos de autenticación diferentes, normalmente el uso de la contraseña + (huella biométrica, SMS, condigo al e-mail, pen drive, etc)
que, de manera general, funciona con una contraseña, que se puede enviar por diferentes métodos, a los cuales debería tener únicamente acceso el usuario, y permiten que el usuario verifique y se identifique de manera inequívoca. Las claves de este tipo de métodos de doble factor de autenticación son:
siendo un método de control de acceso a la información en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, entre otros.
- Evitar el uso de los dispositivos de teletrabajo por terceros no autorizados
El usuario del dispositivo de teletrabajo se responsabilizará de que no serán usados por terceras personas ajenas a la “Organización” o no autorizadas para ello, especialmente otros miembros de la familia para los casos de teletrabajo en el domicilio del usuario. Por lo tanto, el usuario debe saber que está prohibido el uso de los dispositivos de teletrabajo por terceras personas ajenas a la “Organización” o no autorizadas para ello.
- Acceso y uso de Internet de forma consciente, responsable y diligente.
Los mayores riesgos llegan a través de accesos a Internet peligrosos. Cuando estamos trabajando en las Oficinas hay unos mecanismos de seguridad perimetral que evitan la instalación de contenido dañino desde Internet, pero esos mecanismos de seguridad no estarán disponibles en el lugar del teletrabajo por lo que debemos de ser conscientes y diligentes en el uso de Internet y evitar la navegación por páginas no seguras y evitar la instalación de cualquier software o contenido dudoso. A parte del antivirus y de mantener actualizados las aplicaciones la última barrera de seguridad es en el propio teletrabajador que evita acceder a sitios desconocidos.
El último antivirus siempre será la prudencia y responsabilidad del usuario de teletrabajo que evitar acceder a sitios de Internet que puedan ser peligrosos.
- Antivirus activado y aplicaciones actualizadas.
Los dispositivos de teletrabajo deben tener siempre habilitados el antivirus. El antivirus es una medida de seguridad esencial para la detección, prevención y recuperación de protección contra el código malicioso.
Asimismo, deben de existir procedimientos adecuados de concienciación al usuario, por ejemplo, acciones no permitidas como la instalación de software, la obligación de notificar cualquier infección por malware, etc.
Por otro lado, las aplicaciones y sistemas utilizados deben estar correctamente actualizados a sus últimas versiones, principalmente los parches de seguridad.
- Copias de Seguridad.
Generalmente, en los entornos corporativos las copias de seguridad se ejecutan de forma automática, pero cuando la información esta almacenada en los dispositivos de teletrabajo, entonces el usuario de teletrabajo debe ser consciente de que la información almacenada en los dispositivos de teletrabajo, corre peligro de ser robada junto con el dispositivo, ser infectada por ataque malware, sufrir un accidente doméstico que inutilice el acceso o que se pierda por una subida de tensión en el lugar de teletrabajo, etc.
Como consecuencia de los mencionados riesgos, el usuario de teletrabajo deberá de ocuparse de realizar las copias de seguridad para dicha información, garantizando al mismo tiempo la utilización de unos mecanismos y unos soportes seguros como el cifrado de las copias de seguridad o el cifrado de los soportes de almacenamiento de las copias.
- Evitar Redes Wifi-desconocidas.
Deberá evitarse utilizar redes públicas Wifi que no sean conocidas y de confianza cuando se accedan a los recursos de la Organización (ejemplo conexiones Wi-Fi abiertas, redes públicas de hoteles, bibliotecas, locutorios, etc.).
Además, la contraseña de la red wifi del lugar de teletrabajo deberá tener una contraseña compleja y robusta para prevenir la posibilidad de alguna intrusión.
Si es posible se recomienda utilizar una conexión 3G/4G/5G mediante tarjetas móviles facilitados por la Organización.