Teletrabajo seguro

Teletrabajo seguro

TELETRABAJO SEGURO

Antecedentes

El teletrabajo permite llevar a cabo la actividad laboral desde una ubicación distinta a la sede de la empresa. Habitualmente se realiza desde el domicilio del empleado o en otras ubicaciones cuando el empleado está fuera de su puesto de trabajo (en un medio de transporte mientras viaja, en un hotel, etc.). Las organizaciones están adoptando este método de trabajo porque les permite adaptarse a posibles situaciones excepcionales, como el confinamiento durante la pandemia, ofrecer medios para una mejor conciliación laboral o contar con talento afincado en lugares remotos.

La seguridad durante el teletrabajo está vinculada a la tecnología utilizada para el acceso remoto y para la actividad diaria. Por tanto, dependerá de los riesgos asociados a los mecanismos de acceso remoto a la red y a los servidores de la empresa, y de los relativos al uso de ordenadores de sobremesa, portátiles, teléfonos inteligentes o tabletas, medios de almacenamiento extraíbles (memorias USB, discos duros, etc.), herramientas colaborativas y aplicaciones en la nube. En ocasiones esta tecnología es compartida para usos domésticos lo que conlleva riesgos específicos.

Permitir el teletrabajo sin contar con medidas de seguridad puede ser un riesgo para la organización, ya que los empleados podrían hacer uso de aplicaciones y dispositivos no permitidos, facilitando el acceso de los ciberdelincuentes a la red de la empresa y a la información que se gestiona, poniendo en riesgo la continuidad de negocio y por ende la imagen de la empresa.

Para disponer de un entorno de teletrabajo seguro, necesitamos establecer una política de seguridad en la que se contemplen las directrices a seguir respecto al uso de los distintos sistemas y métodos de acceso, contemplando todos los posibles escenarios. Esta política debe definir las medidas necesarias para proteger los dispositivos de teletrabajo, garantizar conexiones remotas seguras, el uso seguro de la nube y de las herramientas colaborativas y la seguridad en movilidad, siempre teniendo en cuenta las necesidades particulares de cada organización.

Objetivos

Garantizar la seguridad de toda la información y los recursos gestionados cuando se teletrabaja.

Concienciar a los empleados de la importancia de cumplir las medidas de seguridad tanto dentro como fuera de la oficina.

Puntos clave

Los puntos clave de esta política son:

  • Normativa de protección del puesto de trabajo remoto. La empresa debe contar con una normativa específica que recoja todas las medidas necesarias para proteger el puesto de trabajo del teletrajador [1]., revisando periódicamente su cumplimiento y modificándola si hubiera cambios que la afecten, como por ejemplo: los dispositivos permitidos, los sistemas instalados o las aplicaciones y programas que se consideran necesarios para desempeñar la labor diaria. 

  • Relación de usuarios que disponen de la opción de trabajar en remoto. Será necesario llevar un control de las personas que, por su perfil [2]. dentro de la empresa o las características de su trabajo, tienen la opción de teletrabajar. 

  • Procedimientos para la solicitud y autorización del teletrabajo: la organización redactará un documento donde se contemplen todas las cuestiones relativas al teletrabajo (duración del mismo, dispositivos facilitados, etc.), que será firmado por cada teletrabajador. 

  • Periodo de implantación y pruebas: se precisará valorar diferentes escenarios y configuraciones antes de comenzar a teletrabajar. Una implementación demasiado rápida del teletrabajo, sin valorar los riesgos de seguridad, puede poner en peligro la información confidencial de la empresa.  

  • Realizar pruebas de carga en escenarios simulados. Si existe un volumen considerable de empleados que van a teletrabajar al mismo tiempo, debe valorarse la carga que esto ocasiona en  los sistemas internos de la empresa. 

  • Aplicaciones y recursos a los que tiene acceso cada usuario. Cada empleado tendrá acceso solo a las aplicaciones y recursos necesarios para llevar a cabo su trabajo, dependiendo de su perfil dentro de la organización. Se detallarán las aplicaciones permitidas así como sus condiciones de uso evitando utilizar programas no controlados por la empresa. En el caso de que el empleado necesitase la instalación y uso de un nuevo software, este tendrá que ser previamente aprobado por el departamento informático de la empresa.  

  • Acceso seguro. Para las credenciales de acceso, se utilizarán contraseñas robustas y el doble factor de autenticación siempre que sea posible, forzando su cambio periódicamente. El mecanismo de gestión de credenciales puede estar controlado por el departamento informático a través de servicios de directorio LDAP, utilizando implementaciones comerciales, como Windows Active Directory o gratuitas, como OpenLDAP entre otras. 

  • Configuración de los dispositivos de teletrabajo.  Los dispositivos utilizados por el empleado para teletrabajar serán previamente configurados por los técnicos de la organización (sistema operativo, antivirus, control de actualizaciones, etc.), tanto si son corporativos como si son aportados por el trabajador (BYOD).  

  • Cifrado de los soportes de información. Todos los dispositivos deben almacenar la información cifrada, tanto para proteger los datos de la empresa de posibles accesos malintencionados, como para garantizar su confidencialidad e integridad

  • Definición de la política de almacenamiento en los equipos de trabajo en la red corporativa. Se dispondrá de políticas que detallen a los empleados dónde deben guardar la información con la que trabajan en remoto.

  • Planificación de las copias de seguridad de todos los soportes. Deben ser periódicas y comprobar regularmente que pueden restaurarse. 

  • Uso de conexiones seguras a través de una red privada virtual o VPN. La implementación de esta tecnología permite que la información que se intercambia entre los equipos de la organización viaje cifrada a través de Internet, protegiéndola de posibles accesos malintencionados.  

  • Aplicaciones de escritorio remoto siempre a través de una VPN. Habilitar el acceso al escritorio desde Internet no es recomendable, puesto que estas aplicaciones pueden contar con vulnerabilidades o configuraciones inadecuadas. Para ofrecer un extra de seguridad y privacidad a las comunicaciones, se recomienda utilizar siempre el escritorio remoto bajo una VPN. Así cuando se acceda a una cuenta por medio del escritorio remoto, primero se deberá acceder a la VPN, la cual proporcionará el acceso al escritorio remoto, haciendo el sistema más robusto.  

  • Virtualización de entornos de trabajo. Este tipo de virtualización, permite almacenar en un servidor de la empresa el espacio de trabajo de cada empleado en lugar de hacerlo en cada dispositivo de manera local, eliminando los riesgos asociados al uso de un dispositivo propio. 

  • Priorizar el uso de dispositivos corporativos. Estos dispositivos cuentan con las políticas de seguridad que la empresa considera necesarias y tienen instalado el software preciso para realizar el trabajo de forma segura. 

  • Conexión a Internet. Cuando no sea posible utilizar la red doméstica para teletrabajar o cualquier otra red considerada segura como alternativa, utiliza la red de datos móvil 4G o 5G siempre evitando la conexión a redes wifi públicas. 

  • Uso de dispositivos personales bajo una política BYOD. En el caso de utilizar dispositivos móviles, esta política debe incluir el uso de aplicaciones de administración remota así como lo contemplado en el punto anterior en cuanto a conexión segura a Internet. 

  • Concienciar a los empleados antes de empezar a teletrabajar. Es imprescindible que los empleados reciban formación en ciberseguridad antes de comenzar a teletrabajar y conozcan las políticas y medidas que se llevarán a cabo en la empresa.

  • Cumplimiento LOPDGDD. Si se han de tratar datos personales desde ubicaciones distintas de las oficinas de la empresa, se ha de contemplar en el análisis de impacto del tratamiento. Además se ha de formar a los empleados para que se garantice en todo caso la privacidad de las personas conforme a la ley. 

  • Aplicaciones de teleconferencia y colaborativas. El uso de estas aplicaciones ha de estar supervisado por el equipo técnico. Se usarán solo las aplicaciones permitidas y con las configuraciones establecidas que permitan un uso seguro. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.