Con la llegada de la pandemia, todos sin excepción nos vimos obligados a cambiar nuestro estilo de vida para adaptarnos a una “nueva normalidad” para poder seguir realizando nuestras actividades cotidianas. De la misma manera, muchos puestos de trabajo tuvieron que implementar y adaptarse a medidas que nunca habían ni siquiera considerado, como el teletrabajo y la implementación de sistemas de ciberseguridad. 1
Desde entonces, una porción considerable de la población se encuentra laborando bajo la modalidad de teletrabajo o trabajo remoto, es decir, desde otros lugares que no sean las propias instalaciones de la organización, representando un gran reto para las empresas.
En este contexto, la participación del área de tecnologías de la información en las organizaciones fue clave, ya que fue la encargada de adaptar las estrategias de ciberseguridad, es decir, las estrategias de seguridad para la información ubicada en la nube e infraestructura. Además de informar y concientizar a los colaboradores sobre las nuevas amenazas, las implicaciones de seguridad asociadas y la forma de administrarlas.
En Ecuador, la situación se presenta de la siguiente manera: 2
Políticas del teletrabajo que toda empresa debe implementar:3
Para que exista un entorno de teletrabajo seguro, se debe establecer una política organizacional que defina las normas a cumplir en diferentes situaciones que se puedan presentar, o en relación con los distintos sistemas y métodos de acceso. Esta política debe contemplar distintos aspectos, considerando que cada organización tiene necesidades particulares.
A continuación, le mostraremos algunos elementos que deben ser parte de una correcta política organizativa:
- Relación de usuarios que trabajan remoto: Es necesario tener un control de las personas que, por las características de su puesto de trabajo, tienen la opción de trabajar remoto.
- Procedimientos para la solicitud y autorización del teletrabajo: Se debe establecer procesos claros a seguir para la correcta migración al teletrabajo.
- Aplicaciones y recursos para cada usuario: Cada trabajador debe tener acceso solo a las aplicaciones y recursos necesarios para realizar su trabajo, dependiendo del rol que desempeñe en la empresa. Se debe detallar las aplicaciones colaborativas y de teleconferencia permitidas y sus condiciones de uso. Asimismo, se debe evitar utilizar programas no controlados por la organización.
- Mecanismos de acceso seguro mediante contraseña: Para las credenciales de acceso se debe usar contraseñas robustas e implementar la autenticación en dos pasos, además de cambiarlas periódicamente.
- Configuración de los dispositivos que establecen las conexiones remotas: Se debe configurar el sistema operativo, antivirus, control de actualizaciones, entre otros aspectos de los dispositivos, ya sean corporativos o de propiedad del trabajador, término conocido como bring your own device (BYOD).
- Tecnología para cifrar los soportes de información: Esto es importante para proteger los datos de la empresa de posibles accesos malintencionados y garantizar así su confidencialidad e integridad.
- Uso de conexiones seguras a través de una red privada virtual o VPN (Virtual Private Network): De esta manera, la información que se intercambie entre los equipos viaja cifrada a través de Internet.
- Política de uso de dispositivos móviles para el teletrabajo: Esta política debe incluir la implementación de aplicaciones de administración remota y definir los criterios para evitar el uso de redes wifi públicas y utilizar conexiones 4G/5G en su lugar.
Políticas de seguridad de la información:4
Es importante tener políticas de seguridad de la información establecidas y difundirlas entre todos los trabajadores de la empresa, más aún en el contexto del teletrabajo.
Estas deben cumplir con los lineamientos establecidos por la norma internacional ISO 27001 , que consiste en un marco de referencia integral para implementar un sistema de gestión de seguridad de la información en toda organización.
Algunas de las medidas que deben incluirse son las siguientes:
- Instalación de antivirus corporativo.
- Monitoreo: Se debe monitorear constantemente a través del soporte técnico, registro de incidentes y ejecución de buenas prácticas de testeo para corregir posibles brechas.
- Capacitaciones en ciberseguridad: Mientras los colaboradores navegan en internet, se exponen a múltiples virus y softwares maliciosos. Por eso, es importante mantenerlos sensibilizados y capacitados respecto a la identificación de estas amenazas y aplicación de medidas preventivas.
Objetivos de la ciberseguridad en el acceso remoto:
Ya sea si trabajamos en las instalaciones de la empresa o si teletrabajamos, debemos proteger su principal activo, la información. Para lograrlo, todos los elementos que implica el teletrabajo, como los servidores de acceso remoto y los servidores internos, deben estar configurados correctamente. Es por esto, que se establecen cinco dimensiones de la seguridad de la información, sobre los que se deben aplicar las medidas de protección:
- Disponibilidad: Se debe asegurar que los usuarios tengan acceso a los recursos cuando los necesiten.
- Autenticidad: Se debe garantizar los procesos de autenticación y control de acceso para que solo las personas autorizadas tengan acceso a la información.
- Integridad: Para proteger la exactitud y el estado completo de la información se debe poder detectar cualquier cambio intencional o no intencional en las comunicaciones.
- Confidencialidad: Se debe asegurar que partes no autorizadas no puedan leer los datos almacenados por el usuario o en tránsito en las comunicaciones.
- Trazabilidad: Para proporcionar los datos necesarios que permitan realizar un análisis de seguridad ante cualquier incidente, se debe establecer procedimientos y mecanismos. Además, debemos considerar las principales leyes que afectan a la empresa con relación a la seguridad de la información.
Recomendaciones para una práctica segura en el teletrabajo:
Para quienes trabajan desde casa o en cualquier lugar ajeno a la empresa, la posibilidad de contar con un entorno seguro es complicado. Los trabajadores remotos deben considerar algunos aspectos para desarrollar seguridad en su entorno y ser más productivos:
- Asegura los equipos ¡Actualízalos!: Aplica actualizaciones de seguridad a todos los sistemas operativos y aplicaciones. Especialmente a los que se utilizan por motivos de seguridad como el software antimalware o cortafuegos, al de acceso remoto y los que son blancos frecuentes de ataques como navegadores web, clientes de correo electrónico y clientes de mensajería instantánea.
- ¡No te expongas! Asegura los equipos móviles: Los dispositivos móviles deben estar contemplados en las políticas de seguridad de la empresa, debido a los riesgos inherentes de su uso como el robo o pérdida, infección por malware, accesos no autorizados a recursos de la empresa o fugas de información.
- ¡No reveles información sensible! Protege los datos: El teletrabajo implica la creación y modificación de información en función de la actividad diaria del puesto de trabajo, como el manejo del correo electrónico o documentos de texto, etc. Los cuales deben ser tratados con la seguridad que requieren. Una opción para proteger los datos de tu empresa es realizar una copia de seguridad de los datos.
- Realiza una copia de seguridad de datos: Crear copias de seguridad periódicamente permitirá a las empresas luchar contra ataques con softwares malignos, ya que disponer de una o varias versiones actualizadas de los datos evita que estos queden secuestrados a través de encriptación. También se podría contemplar la opción de no permitir que la información se almacene en los dispositivos, sino almacenarla de forma centralizada en la organización.
- Educa a tus trabajadores ¡Capacítalos!: Es necesario mantener a los colaboradores actualizados en aspectos claves de la ciberseguridad para que sean capaces de entender el tema a profundidad, qué métodos se utilizan para los ataques y cómo protegerse.
Conclusiones
En conclusión, para que exista un entorno seguro de teletrabajo y proteger el principal activo de la empresa, la información, se deben establecer políticas organizacionales y difundirlas a todos los trabajadores de la empresa que se encuentran laborando en la modalidad de teletrabajo.
Por otro lado, se deben implementar medidas de ciberseguridad a todos los sistemas y aplicaciones de los equipos de las empresas para evitar la exposición de información sensible.
¡Educa y capacita a tus colaboradores sobre ciberseguridad, no arriesgues tu información!
Niubox es una firma de servicios legales, consultoría en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, telecomunicaciones y competencia, consumidor y propiedad intelectual.
[1]Teletrabajo y Ciberseguridad: cómo conectarse a la red de manera segura
[2] Esto es lo que debe pasar en Ecuador para que el teletrabajo sobreviva en el tiempo