Sello de Confianza Digital
Servicio de teletrabajo
Se considera teletrabajo a la actividad laboral que se lleva a cabo desde lugares que no sean las instalaciones de la propia organización. El matiz es importante, puesto que no se refiere solo al trabajo desde casa.
Los datos revelan que, desde el inicio de la pandemia, casi la mitad de las compañías han usado el teletrabajo y parece que de manera muy efectiva. Pero, ¿cuántos de los empleados de la compañía teletrabajan? ¿Existe algún procedimiento para solicitar o autorizar esta modalidad de trabajo? ¿Cuentan los equipos con la seguridad necesaria? ¿Son dispositivos corporativos o los aportan los empleados (BYOD)? ¿Se han delimitado las aplicaciones y recursos a los que tiene acceso cada usuario? ¿Se hace uso de conexiones seguras a través de una red privada virtual (VPN)? ¿Utilizan algún procedimiento y tecnología de cifrado? ¿Se ha realizado algún tipo de formación a los usuarios referida al teletrabajo? Todas estas preguntas tratan de poner de manifiesto qué aspectos debe tener en cuenta una empresa que tiene implantado el teletrabajo, en cualquiera de sus formas: aspectos operativos de la implantación, elementos tecnológicos y de seguridad y, también, los aspectos regulatorios.
No podemos olvidar que, independientemente del entorno, el objetivo debe ser la protección de la información (el principal activo de las compañías). Por eso, tanto si se trabaja en las instalaciones de la empresa, como si se teletrabaja desde cualquier otra parte, debemos aplicar los cinco pilares en los que se sustenta la seguridad de la información: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. Siempre teniendo en cuenta la normativa que nos aplica en este sentido (RGPD, LOPDGDD, LPI o LSSI-CE).
Por este motivo, hemos puesto en marcha nuestro servicio de teletrabajo, que incluye los aspectos esenciales para llevar a cabo su implantación de forma segura:
& Política de teletrabajo
Es el primer paso para definir las normas que debemos cumplir con respecto al uso de los sistemas y a los métodos de acceso. Recoge aspectos como: qué usuarios podrán realizar teletrabajo; cuáles son los procedimientos para solicitarlo; con qué recursos contará cada empleado; los mecanismos de acceso; la configuración de los dispositivos, etc.
& Formación y concienciación
En seguridad de la información, las amenazas van más allá de los ciberdelincuentes. El hecho de que los empleados no estén formados o no conozcan las políticas de seguridad pone en riesgo a la empresa. Por este motivo, es necesario formar a los empleados, especialmente, si van a teletrabajar.
& Soporte en ciberseguridad al teletrabajador
& Cumplimiento de las normas de desconexión
& Aspectos técnicos:
& Acceso VPN. Es necesario contar con una comunicación cifrada de extremo a extremo, independientemente de dónde se encuentren los recursos de la organización (oficinas, CPDs propios o externos, la nube, etc.). En las conexiones por VPN protegemos la información que intercambiamos, ya que establecemos un canal cifrado de comunicación (también llamado “túnel”) entre nuestro dispositivo y nuestro lugar de trabajo. Así los datos se mueven de forma segura.
& Contol de acceso (NAC). Esta tecnología permite controlar qué dispositivos pueden acceder a la red. De esta forma, podemos establecer políticas de gestión de los dispositivos e integrar esas políticas con BYOD. Así, evitamos la propagación del malware y otras amenazas que pueden dañar la infraestructura y hacer nuestra compañía vulnerable a los ataques.
& Prevención de fuga de información, mediante IRM. La utilización del IRM (Information Rights Management) permite a las organizaciones proteger los datos sensibles que se comparte con los empleados y con terceros (clientes, proveedores, etc.). La empresa puede decidir quién tiene acceso a su información, para qué (lectura, edición, impresión, etc.) y durante cuánto tiempo. De esta forma, evitamos las fugas de información.
& Control de navegación. Mediante la catalogación de las páginas webs en distintas categorías, es posible delimitar qué paginas son accesibles para los usuarios y cuáles no.
& Seguridad en el correo electrónico. El correo electrónico es uno de los principales sistemas de intercambio de información y, por tanto, también un objetivo para los ciberdelincuentes. Es imprescindible contar con herramientas que protejan el tráfico de entrada y salida.
& Seguridad antiphishing. Protección avanzada ante suplantaciones de identidad, páginas web y aplicaciones falsas o campañas fraudulentas a través del correo electrónico.
& Doble factor de autenticación. Habitualmente, para acceder por VPN a los recursos de la organización, utilizamos nuestras credenciales de dominio (usuario y contraseña). Pero, ¿qué ocurre si nuestras credenciales están comprometidas? Para dotar de la mayor seguridad a los accesos, disponemos del denominado doble factor de autenticación. La doble autenticación o verificación en dos pasos es una capa de seguridad adicional, que complementa el uso de las contraseñas. De esta forma, reducimos el riesgo de que un tercero sin autorización acceda al sistema.
& Protección de antivirus de nueva generación. Desde hace unos años, los antivirus convencionales, basados en firmas, quedaron obsoletos. Esto se debe a la capacidad de mutación de los nuevos virus, pero, sobre todo, a las nuevas amenazas a las que nos enfrentamos.
& Soluciones de gestión y protección de dispositivos móviles (MDM). Los dispositivos móviles, incluidos los que se utilizan simultáneamente de manera personal y profesional (BYOD), tienen riesgos inherentes a su uso (robo, pérdida, infección por malware, accesos no autorizados a recursos de la empresa, fugas de información, etc.). Estos dispositivos siguen siendo los grandes olvidados en cuanto a la seguridad, pero, mediante estas soluciones, podrás gestionarlos y protegerlos con las mismas medidas y políticas que el resto de equipos de la organización.
& DLP + UEBA: Las soluciones de Data Loss Prevention (DLP) evitan la salida no autorizada de información por parte de empleados y otros usuarios (fugas de datos accidentales o intencionadas). Además, la tecnología UEBA (User and Entity Behavior Analytics) aporta herramientas de visibilidad, trazabilidad y análisis forense sobre las acciones de los usuarios.