Cómo implantar el teletrabajo y no morir en el intento

Lo cierto es que en España el teletrabajo está muy poco extendido. Según la Encuesta de Población Activa (EPA), el 96% de los trabajadores no practican esta modalidad, o mejor dicho, estaba muy poco extendido. Dada la extraordinaria situación de pandemia, las compañías se han visto forzadas a improvisar en mayor o menor escala una transición histórica en tiempo récord para que su plantilla siga manteniendo su actividad habitual desde sus casas. También es cierto que dada la premura impuesta por la situación y al no disponer de ninguna planificación, probablemente en esta transición hacia el teletrabajo se hayan pasado por alto algunos aspectos relativos a la seguridad de la información. Pero los ciberdelincuentes no descansan. En las últimas semanas de pandemia se ha detectado un repunte de los ataques informáticos, como son el ransomware, phishing, etc.

Existen muchos argumentos a favor del teletrabajo, como el ahorro de tiempo y de dinero que suponen los desplazamientos, la mejora de la conciliación familiar o el buen ambiente y tranquilidad que nos transmite nuestro hogar. Pero, en paralelo, también existen varios contras, como la imposibilidad de realizar algunas tareas en la distancia o el posible descenso del rendimiento que algunos comentan.

El teletrabajo ha venido para quedarse en nuestras vidas. Por ello, al igual que intentamos mantener una serie de medidas de seguridad cuando estamos en la oficina, deberemos hacer lo mismo desde nuestras casas, siempre preservando tres pilares: la confidencialidad, la integridad y la disponibilidad del activo más importante que hay en las empresas, la información. Sin embargo, todas estas recomendaciones tienen que estar impulsadas desde la dirección de la organización.

Proteger la información

El primer paso para poder hacer realidad el teletrabajo es la implementación de una solución de acceso remoto (como puede ser VMWare o Citrix) que establezca un canal seguro de comunicaciones. En el mercado existen diferentes tipos de soluciones (ya sean en la nube u on premise), pero debemos asegurarnos de que reúnen unas medidas de seguridad y un cifrado adecuado. Una excelente práctica que debería ser tenida en consideración es la utilización del doble factor de autenticación a través de un token, un SMS, etc. Si se hace uso de conexiones VPN, deberíamos asegurarnos de que el protocolo escogido nos proporciona garantías de cifrado del túnel (evitando PPTP, L2TP, etc.).

En este caso, lo que se está proponiendo es la utilización de máquinas virtuales, ya que es totalmente desaconsejable la utilización remota de los propios equipos de los usuarios, por disponer de alto riesgo de infección (la apertura de los puertos de escritorio remoto supone un alto riesgo de seguridad). En la casuística de que esta sea la única opción, deberían tomarse medidas especiales, como es la restricción de los accesos por dirección IP, así como habilitar los registros de auditoría de las conexiones llevadas a cabo. Sin embargo, esta última medida debería habilitarse para cualquier servicio crítico. Todos los servicios a los que se tenga acceso remoto deberían encontrarse en una DMZ, siendo recomendable que esta DMZ disponga de un proxy que controle el acceso a Internet.

El primer paso para hacer realidad el teletrabajo es implementar una solución de acceso remoto que establezca un canal seguro de comunicaciones

Desde el punto de vista de los correos electrónicos, es altamente recomendable disponer de mecanismos de control y detección de amenazas en los diferentes buzones (una especie de sandbox).

Sea cual sea el equipo en el que estemos teletrabajando (‘Bring your own device’ -BYOD-, ‘Company Owned/Personally Enabled’ (COPE) o ‘Company Owned/Business Only’, -COBO-), debemos asegurar que se han aplicado los últimos parches de seguridad del sistema operativo, aplicaciones y herramientas que utilicemos.

Medidas de seguridad

Otro tema delicado es lo relativo a las fugas de información. Al no estar físicamente en la oficina podemos vernos con más posibilidades de extraer determinado tipo de información de los sistemas de la compañía. Por ello, es importante mantener ahora más que nunca el escaneo de los dispositivos USB o directamente su bloqueo.

Por muchas medidas que se tomen, si no existe en la organización unos empleados concienciados sobre seguridad de la información, no hay nada a hacer. Sin ir más lejos, se han dado numerosos casos recientemente en los que un empleado ha recibido un phishing (correo electrónico suplantando la identidad de alguien) y a causa de ello ha existido una fuga de datos confidenciales o incluso se ha materializado en una pérdida económica directa para la organización, como por ejemplo el famoso fraude al CEO.

Estos eventos que estamos comentando no tienen nada que ver con la protección de los sistemas de información, sino que más bien está relacionado con los fallos de las personas. Por ello, es muy importante que las organizaciones difundan una cultura del uso de los medios electrónicos basada en la seguridad de la información, a través de la formación y concienciación. Formación y concienciación Resulta una muy buena práctica enviar de manera periódica a toda la plantilla píldoras formativas orientadas todas ellas a reducir la probabilidad de ocurrencia de un incidente de seguridad por causa humana. Asimismo, también se pueden hacer campañas de simulación de phishing, con la finalidad de evaluar el grado de concienciación de los empleados en materia de seguridad de la información.

En este sentido, se puede plantear una campaña de correos electrónicos, supuestamente enviados por una famosa empresa de comercio electrónico, y en los que se explique que la organización ha alcanzado un acuerdo con la página web y que se ofrece a todos los empleados un determinado descuento, por ejemplo, indicando que si desea disfrutar de ese beneficio se debería hacer clic en un determinado enlace. Obviamente, es todo falso, pero lo importante es intentar realizar una suplantación de la identidad de una empresa, lo más cercana a la realidad, utilizando los logos reales. Seguro que los resultados de estas simulaciones sorprenderán a más de uno.

Dentro de esta parte humana, también se debe fomentar la cultura de reportar cualquier incidencia informática que pueda ocurrir, existiendo una comunicación fluida entre los usuarios y el departamento de IT de la empresa. Es muy importante en este sentido establecer los canales, procesos y mecanismos de notificación de incidencias.

Si una organización quiere potenciar y mejorar la madurez de la seguridad de la información, también es importante disponer de unos procesos definidos con un cuerpo normativo, que incluya una política de seguridad alineada con el negocio y diferentes procedimientos que den soporte. Para ello, es recomendable escoger un marco de controles, como puede ser el recogido en la ISO 27002 o en la normativa americana NIST. En resumen, la organización debe recoger documentalmente cómo quiere que funcionen los diferentes procesos de IT y de seguridad, así como cuáles van a ser las normas de uso de los dispositivos electrónicos y los sistemas de información.

Si la organización no tiene unos empleados concienciados sobre seguridad de la información, no hay nada a hacer

Por otro lado, una recomendación muy importante es estar al día sobre las vulnerabilidades descubiertas en las diferentes tecnologías. En esta línea, el Instituto Nacional de Ciberseguridad (INCIBE), a través de la Oficina de Seguridad del Internauta, hace una gran labor mediante la centralización y difusión de información útil para protegerse ante los ciberdelincuentes.

En cualquier caso, la mejor recomendación para teletrabajar es evitar hacer lo que no se haría en la oficina. Sin embargo, esto es cuestión de tiempo. En breve nos habremos adaptado y podremos decir que el teletrabajo nos reporta más ventajas que inconvenientes.

Algunos consejos útiles

1. Cerrar las aplicaciones y conexiones que no estemos utilizando.
2. Realizar un análisis exhaustivo periódico con
   un antivirus.
3. Para la información y herramientas más críticas para el negocio: se debería establecer un mecanismo de registro de actividad para detectar cualquier actividad no usual y poder ser proactivo en la detección de incidentes de seguridad de la información.
4. En esta vía, también es recomendable implantar un servicio de proxy de navegación que permita restringir el acceso a páginas web maliciosas, permitiendo también disponer de un registro de la actividad web de los usuarios.