Teletrabajo y protección de datos
El teletrabajo puede plantear riesgos de ciberseguridad si no se ha planificado con tiempo, se ha formado adecuadamente al personal y se ha configurado de forma segura los equipos y las conexiones. Os ofrezcamos una selección de las principales medidas de protección básicas a tener en cuenta que os pueden ayudar a teletrabajar minimizando los riesgos de seguridad en el tratamiento de la información de vuestra organización.
Tened presente que la situación actual es muy atractiva para los ciberdelinqüents para robar contraseñas y secuestrar información confidencial a cambio de un rescate. Casos de este tipo han sucedido a los últimos meses en administraciones públicas con grave perjuicio económico y de reputación.
Esta selección se ha elaborado con el objetivo de facilitar una guía práctica y ejecutiva, dirigida a usuarios no expertos, que no disponen de recursos para aplicar un plan cumplido y avanzado de seguridad. Queremos evitar un exceso de información y hacer recomendaciones no viables en las circunstancias en que nos encontramos. Para los usuarios que tengáis interés en profundizar en este tema, facilitamos enlaces adicionales al final del post.
Estas recomendaciones son de carácter general. Si vuestra organización dispone de una guía de ciberseguridad propia seguidla.
Aspectos organizativos en teletrabajo
La organización es muy probable que ya disponga de un protocolo y responsable de ciberseguridad.
Sigue las instrucciones de seguridad del responsable tecnológico de tu organización.
Haz uso de las herramientas y aplicaciones autorizadas por parte de tu organización. Si tienes la necesidad de utilizar otras soluciones se prudente y utiliza solo aplicaciones de confianza.
Valida que se realizan copias de seguridad de los documentos corporativos que trabajarás desde casa.
Entérate bien de cuál es el canal de comunicación de incidencias y de resolución de dudas.
Notifica inmediatamente cualquier incidente de ciberseguridad al responsable tecnológico de tu entidad.
Equipo de trabajo
Desde tu equipo de trabajo de casa tendrás acceso a la información confidencial de tu organización. Tanto si utilizas un ordenador corporativo, como un ordenador personal hay que tener en cuenta un conjunto de medidas de protección y preventivas. Si utilizas un equipo de trabajo corporativo, el más habitual es que ya cumpla la mayoría o la totalidad de las recomendaciones a través de las políticas de seguridad que ha forzado el administrador.
Asegúrate que el sistema y las aplicaciones están actualizadas con las últimas versiones y que la actualización automática de versiones está activada.
Comprueba que tu ordenador tiene un sistema de anti-virus y anti-malware activo
Aplica el bloqueo automático de la pantalla al cabo de diez minutos.
Crea en tu sistema operativo una cuenta independiente para la familia y para teletrabajar. Hay que evitar cualquier acceso no autorizado a información confidencial.
Activa un Cortafuegos (firewall) a tu equipo. Muy importante mientras se realiza teletrabajo.
Conexión a Internet y acceso remoto
Las redes Wifi domésticas no suelen disponer de los mismos controles de seguridad, como por ejemplo cortafuegos, que se implementan a las oficinas corporativas. Por eso, cuando trabajas de manera remota hay que poner especial atención a las características de la red a través de la cual te conectas, ya sea para navegar por internet como para acceder a los sistemas y los datos de tu organización.
Evita utilizar redes públicas Wifi que no sean conocidas y de confianza para acceder remotamente a los servicios de la organización.
Utiliza durante el teletrabajo, si procede, los servicios de conexión remota VPN (red privada virtual) que recomiende tu organización para acceder a los sistemas de información corporativa.
Comprueba que el Router de conexión a Internet no utiliza la contraseña por defecto de fábrica. A Internet y YouTube encontrarás muchos tutoriales. Puedes usar el procedimiento que recomienda la Organización del Consumidor y Usuarios.
Configura la contraseña del Router con sistemas de encriptación segura: WPA3 (preferentemente) o WPA2.
Copias de seguridad
Toda la documentación ofimática que generes al ordenador privado que uses para teletrabajar y no sea guardada al servidor de la organización, seguramente no dispondrá de un sistema de copia de seguridad automatizado. Por lo tanto, es recomendable que tomes la precaución de realizar copias de seguridad.
Haz copias de seguridad de los documentos generados en local a través de alguno de los mecanismos siguientes:
- Memorias USB: previamente tendrías que haber limpiado o formatejat para garantizar que no tiene ningún riesgo
- Disco duro externo
- Servicio de almacenamiento a la nube autorizada por la organización
Contraseñas y autenticación
Durante el teletrabajo la forma de autenticarte en los sistemas y aplicaciones es especialmente crítica, puesto que con una contraseña sustraída se podría acceder a información confidencial y/o tomar el control de un servicio de tu organización. A continuación te ofrecemos algunas recomendaciones para autenticarte con más seguridad, así como para definir y utilizar contraseñas más robustas.
Utiliza, siempre que sea posible, el acceso a los sistemas de información con certificado digital (preferiblemente T-CAT P) o sistemas de autenticación de doble factor para evitar que te roben la contraseña. (Los sistemas de doble factor se basan en códigos desechables que se envían por SMS o bien a una APP)
Utiliza contraseñas complejas: combinación de caracteres especiales, números y letras mayúsculas y minúsculas.
No apuntes las contraseñas corporativas en ninguna parte.
Si instalas certificados digitales en software en tu ordenador personal (TCAT-P, idCAT Certificado) utiliza la opción “Escribir la Contraseña para la clave privada”: de esta forma solo se podrá usar el certificado digital si se conoce la contraseña.
Si tienes que utilizar muchas cuentas con diferentes usuarios y contraseña, utiliza una aplicación para gestionar de forma segura las diferentes contraseñas. Hay varias soluciones que ofrecen una versión gratuita (Lastpass, Dashlane, etc). Los dispositivos Apple – iOS disponen de un gestor de contraseñas integrado con el sistema operativo.
Navegación segura por Internet
Los ciberdelincuentes aprovechan cada distracción, tanto humana como técnica, para robar información, propagar virus o realizar cualquier acción nociva que, en el caso del teletrabajo, te perjudica tanto a tú como tu organización. Por eso, para navegar por internet de manera segura, conviene adoptar siempre ciertas precauciones.
Evitar la navegación por páginas no seguras y evitar la instalación de cualquier software o contenido dudoso.
Los navegadores web de los equipos tendrán que estar actualizados y configurados con la última versión y parches de software.
Eliminar periódicamente el historial de navegación, las cookies, contraseñas recordadas y otros archivos temporales. Así evitas potenciales elementos espíes.
Videoconferencias seguras en teletrabajo
Para garantizar la seguridad y la privacidad de las conversaciones durante las videoconferencias con tu equipo de trabajo o de proyecto, hay que tener en cuenta los aspectos siguientes:
Convoca la reunión de manera segura. Permite que solo los usuarios que conozcan los datos de la reunión puedan unirse a la sesión de videoconferencia. Para hacerlo:
- Crea una reunión a la que solo puedan unirse las personas invitadas.
- Envía la invitación a través del correo-e particular de los participantes o bien a través de una plataforma o canal securitzat.
- Haz que las personas a quién hayas invitado por correo-e tengan que iniciar la sesión a través de esta misma dirección o bien, utiliza un sistema de autenticación de doble factor, por ejemplo generando el enlace de la reunión (o ID de reunión, en el caso de Zoom) y requiriendo una clave para unirse.
- La sala de espera también es una característica muy útil porque los anfitriones controlen quién entra y quienes sale de la reunión.
- No compartas el enlace para unirse a la reunión a través de redes sociales u otros foros públicos. CUALQUIERA con el enlace podría unirse a la sesión.
- Administra a los participantes.
- Configura por adelantado quién podrá compartir pantalla o enviar archivos a través del chat durante la reunión.
- En el caso de reuniones grandes, recuerda que el anfitrión puede silenciar los participantes individualmente o todos a la vez, para evitar ecos, rumor de fondo y distracciones o conversaciones paralelas.
- Valora si es necesario bloquear la reunión cuando ya estén todos los participantes, porque no puedan unirse nuevos participantes no deseados.
Familiarízate previamente con la configuración y las funciones de la herramienta de videoconferencia que utilizarás para saber como proteger el espacio virtual donde tendrá lugar la reunión.
Al final de la sesión, asegúrate que el espacio virtual dónde ha tenido lugar la reunión queda cerrado o accesible solo para los participantes de la reunión, puesto que pueden haber notas, ficheros e información de carácter privado.
Phishing
El phishing es un tipo de cibercrimen que consiste en el envío de correos fraudulentos con el objetivo de robar la contraseña u otra información personal. Es una de las estafas más utilizadas por los delincuentes informáticos. El funcionamiento del phishing es sencillo: se recibe un correo electrónico, con una apariencia legítima que pide actualizar, validar o confirmar información mediante un enlace. Después de clicar en él, se te redirige en una página web falsa, en la cual se procede al robo de la contraseña u otros datos.
No hagas clics a enlaces, ni descargues ningún documento adjunto de correos electrónicos sospechosos. Sospecha de correos electrónicos que piden hacer actuaciones no habituales de renovar contraseñas. Revisa la dirección del remitente (no el alias) de los correos electrónicos aparentemente legítimos.
Cuando te conectes vía web verifica a la barra del navegador que la dirección web del destino es la correcto. Los ciberdelinqüents pueden replicar completamente un web y robarte tu contraseña.
Al acabar el trabajo
Desde tu equipo de trabajo de casa tendrás acceso a la información confidencial de tu organización.
Cierra todas las conexiones a los sistemas de información y webs corporativas.
Fez una copia de seguridad de los documentos locales que has trabajado y que no están cubiertos por la copia de seguridad corporativa.
Elimina el historial de navegación, las cookies, contraseñas recordadas y otros archivos temporales.
Más información
Los usuarios que deseáis ampliar la información de esta guía os recomendamos que visitáis las siguientes páginas web con contenidos especializados:
Normes de ciberseguretat per a la prestació de serveis en la modalitat de teletreball –
Agència de Ciberseguretat de Catalunya
Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo
- Agencia Española de Protección de Datos
Cómo teletrabajar de forma segura sin poner en riesgo a usuarios y organizaciones –
Centro Criptológico Nacional
Imagen de TheDigitalWay en Pixabay