En este artículo os queríamos hablar sobre las recomendaciones en ciberseguridad para el teletrabajo, ya que esta forma de trabajo parece que ha venido para quedarse y/o potenciarse. Para las empresas suponen cambios substanciales a nivel de ciberseguridad, dado que el perímetro de seguridad informática de los sistemas, pasa de ser la red interna, (en el menor de los casos) a Internet, dado que se tiene que publicar aplicaciones o servicios que antes solo se podría acceder desde la red interna y ahora se acceden desde Internet, es decir que el trabajador, en modo teletrabajo, pueda acceder a todos los servicios para poder realizar su trabajo desde fuera de la red corporativa de la oficina.
La ciberseguridad no es un gasto sino una inversión, dado que el riesgo ahora a sufrir ciberataques es mucho mayor.
Evidentemente no se puede hablar de todos los escenarios porque los hay para todos los gustos y colores, empresas/usuarios que ya tienen muy avanzado el teletrabajo y ya han migrado o planteado desde su creación esos servicios para que sean seguros informáticamente y accesibles desde Internet u otras empresas/usuarios que solo necesitan acceder al correo electrónico vía Internet.
Por eso en este artículo no os hablaremos tanto de escenarios de teletrabajo seguros a nivel informático, o lo más seguros posibles, sino de herramientas en ciberseguridad con su función y uso, para que, si se da ese caso, se aplique estas herramientas y acciones necesarias en ciberseguridad a realizar según se dé el caso.
Deberíamos hacer una primera puntualización que puede modificar mucho el teletrabajo a nivel de ciberseguridad, y es que no es lo mismo trabajar con un ordenador corporativo, maquetado y actualizado que con un ordenador privado (del usuario) que usa también para su uso particular.
Un ordenador privado siempre actualizado y con un antivirus o EDR con las funcionalidades en ciberseguridad que comentaremos en el siguiente artículo, e intentar tener dos usuarios, uno para personal/privado sin casi permisos y el usuario de trabajo.
Por otro lado estaría el ordenador de empresa, con maqueta corporativa, actualizado, con antivirus y las medidas en ciberseguridad que defina la empresa.
Nos gustaría dividir en tres partes las recomendaciones en ciberseguridad en el teletrabajo:
- acciones a realizar para la ciberseguridad
- aplicaciones o productos de ciberseguridad para dotar de seguridad al teletrabajo
- y la tercera parte como puede afectar el teletrabajo para el nuevo Reglamento General de Protección de Datos (RGPD) o LOPDGDD 3/2018.
El Objetivo: Planificación, no reacción.
Acciones a realizar para mejorar la ciberseguridad en el teletrabajo:
- Actualizar las políticas de seguridad de la empresa, reflejando el nuevo escenario y definiendo los nuevos procedimientos para los usuarios con la nueva modalidad del teletrabajo, como por ejemplo el borrado seguro de datos del pc. También se pueden generar perfiles de usuarios con niveles de acceso que teniendo la información categorizada nos facilitara la gestión y administración de los accesos a la información.
- Revisar la política de contraseñas seguras, la caducidad de la contraseña y si fuera necesario definir un gestor de contraseñas, intentando en la medida de lo posible, aplicar un Segundo Factor. El tener credenciales fuertes y robustas es una de las principales recomendaciones.
- Actualizar el documento de análisis de riesgos dado que al tener los datos fuera de la red interna, los riesgos en ciberseguridad se deben replantear y si fuera el caso definir medidas en ciberseguridad de mitigación de esos riesgos para proteger el dato.
- Concienciación o formación, aquí se ha de realizar concienciación en teletrabajo a nivel de la protección y uso de la información sensible, no usar usb personales que luego puede usar cualquier persona de casa u otras medidas y seguir formando más aún en concienciación en ciberseguridad.
- Establecer la postura de seguridad informática frente a esta nueva situación, es decir, requerir al usuario que, en su portátil personal, disponga de medidas de seguridad tales como un antivirus y un sistema operativo actualizado.
- Revisión y actualización de la documentación de gestión de incidentes con el nuevo escenario.
Posteriormente publicaremos otro artículo que hable de las medidas técnicas en ciberseguridad y otro que hable de las medidas que afectan al RGPD y alguna recomendación sobre el uso de herramientas de videoconferencia.
Fuentes :
Agencia Catalana de Ciberseguridad
Si necesita saber las medidas que necesita su empresa, póngase en contacto con Grupo Paradell y le recomendaremos las medidas en ciberseguridad o seguridad informática para su empresa.