El teletrabajo se ha convertido en una alternativa, impuesta de forma súbita, por una crisis sanitaria sin parangón en tiempos recientes. Empleados, corporaciones, instituciones de enseñanza, organismos oficiales y un largo etcétera, se han visto sobrepasados o limitados a la hora de implementar herramientas que les permitan una continuidad de su función desde el exterior de la red corporativa o de las instalaciones oficiales o habituales.
Muchas entidades han tenido que improvisar, consiguiendo seguir con la actividad habitual, estando la gran mayoría de los empleados en casa, pero en cuanto a la ciberseguridad se refiere, ha quedado un vacío que hay que ir salvando poco a poco.
Asumir el teletrabajo sin seguir unas normas básicas de seguridad supone un elevado riesgo para la empresa, ya que los ciberdelincuentes tratarían de acceder a la red de la organización y a la información que alberga, o los empleados podrían hacer uso -de forma consciente o no- de herramientas o programas no permitidos exponiendo la seguridad de la empresa.
Ante este panorama, hay que asimilar ciertas reglas o pautas de seguridad cuando nos enfrentamos al trabajo desde casa.
Acceso seguro a la red de la empresa
Para acceder de forma segura a las bases de datos, información y sistemas de la empresa, de forma que mantengamos la confidencialidad, integridad y disponibilidad de la información, es recomendable el uso de una red privada virtual o VPN (Virtual Private Network).
Una VPN crea una conexión privada y cifrada evitando accesos indeseables a las comunicaciones. Las VPN, al igual que sucede con una página web, pueden contratarse como servicio a un proveedor externo o se pueden instalar y administrar internamente por la empresa.
Las VPN como servicio, tienen como principal ventaja que toda la administración y gestión la realiza una empresa externa, por lo que los periodos de implantación son muy reducidos. Sin embargo, se pierde en privacidad porque la información de la empresa pasa por un tercero.
Lo más lógico sería usar una VPN propia de la organización. De esta manera, en ningún momento la información es gestionada por un tercero, lo que ofrece un extra de privacidad. No obstante, instalar un servicio de VPN propio lleva más tiempo que contratarlo. Además, se requiere personal especializado para que lo haga, ya que si no se configura correctamente puede convertirse en la puerta de entrada de los ciberdelincuentes hacia la organización.
Escritorio remoto
La alternativa de escritorio remoto permite conectar un dispositivo y utilizarlo de la misma forma que si se estuviera físicamente en el equipo. Windows 10 implementa de forma nativa un servicio de escritorio remoto, así como otros sistemas operativos.
Habilitar el acceso al escritorio desde Internet no es recomendable, puesto que, en caso de contar con una vulnerabilidad o configuración inadecuada, los ciberdelincuentes lo tendrán más fácil para entrar en la red corporativa.
Para evitar esta situación y ofrecer un extra de seguridad y privacidad a las comunicaciones, es recomendable utilizar a la vez una VPN y el escritorio remoto. Cuando un empleado desee acceder a su cuenta por medio del escritorio remoto, primero deberá acceder a la VPN, la cual proporcionará el acceso al escritorio remoto, así se contará con dos sistemas distintos que harán el sistema más seguro y robusto.
Dispositivos
En cuanto a los equipos a utilizar, la mejor opción es que la empresa nos provea de dispositivos corporativos, ya que estos están configurados por los técnicos de la entidad y optimizados para el trabajo que se realiza. Su estado de seguridad estará ajustado a las políticas de seguridad de la empresa y sus programas estarán licenciados y actualizados.
Si no es posible utilizar equipos corporativos, habremos de usar equipos personales, con lo cual deberemos de atender a una serie de medidas básicas como:
- Utilizar contraseñas fiables. De una longitud considerable, evitando patrones (nombres o fechas) y que incluyan cifras, números, símbolos, mayúsculas y minúsculas.
- Mantener actualizado el dispositivo. Especialmente a nivel de programas, y dentro de estos, se prestará más atención al antivirus, a los navegadores y al sistema operativo.
- Realizar copias de seguridad. Valiéndonos del gestor de copias del sistema operativo o copiando los datos a salvar de forma manual en uno o dos dispositivos de almacenamiento externo. También se aconseja el uso de una nube – de pago, a ser posible, y fiable – para la conservación de las copias de seguridad.
- Evitar el uso de programas sin licencia, su utilización puede implicar: mal funcionamiento, virus o troyanos, carencia de actualizaciones, ausencia de servicio técnico oficial y aumento de gasto a largo plazo.
- Evitar conexiones inalámbricas, especialmente las públicas, se utilizará preferiblemente la red doméstica, ya que sobre esta se tiene un mayor control.
- Es recomendable que la red doméstica cuente con una serie de medidas de seguridad que tendremos que comprobar, como utilizar una contraseña de acceso lo más robusta posible y deshabilitar el protocolo de cifrado WPS o utilizar cifrado WPA2 como mínimo.
- Formación básica del empleado mediante correos o de forma telefónica por parte de técnicos de la empresa.
Estas recomendaciones son de obligado cumplimiento a la hora de llevar a cabo el teletrabajo.
Pero ante todo ha de primar el sentido común. Las prisas y la curiosidad son malas consejeras a la hora de navegar por internet, abrir correos desconocidos o clicar en enlaces sospechosos. Evitar los enlaces incrustados en foros y, cualquier tipo de sitio web que no sea conocido, fiable y necesario.
Un paso en falso teletrabajando implica poner en riesgo a la empresa a la que pertenecemos, algo que excede con creces el daño que un ciberataque causaría a nuestro propio equipo o información.
Recursos
blog. udlap
incibe.es
Gustavo Romero Sánchez
Gestor de Redes y Recursos Informáticos en el sector de la Seguridad.
Criminólogo y Antropólogo Forense
Tutor Tecnológico en Curso Superior de Ciberseguridad