El teletrabajo es un concepto que existe desde hace años, sin embargo, la reciente pandemia de Covid-19 ha aumentado el número de teletrabajadores a niveles sin precedentes en todo el mundo. Numerosos gobiernos y empresas están adoptando técnicas de distanciamiento social para limitar o desacelerar la propagación del virus, desde cerrar todas las instituciones educativas hasta pedir a todas las compañías que intenten facilitar a sus empleados la opción de trabajar desde sus hogares.
Además de garantizar que las redes, las VPN y otros recursos de TI sean capaces de soportar ese cambio, las organizaciones que no han incorporado ese teletrabajo en sus planes de preparación para desastres deben estar conscientes y tomar medidas para mitigar la seguridad cibernética y la privacidad de los datos.
En España la opción de trabajar de manera remota se encuentra entre las primeras medidas tomadas por las compañías (18%) por detrás de la desinfección de los lugares de trabajo, el cierre de algunos sectores, y el reparto de información entre el personal.
Las amenazas más comunes
Aunque muchas empresas ya tienen políticas de trabajo remoto y están bien equipadas para este tipo de entorno de trabajo, no están exentas de gestionar los riesgos de ciberseguridad que pueden surgir, al aumentar drásticamente el número de empleados que trabajan desde la comodidad de su hogar.
Las medidas de seguridad en un entorno de teletrabajo deben abarcar los sistemas y la tecnología de la información, y todos los demás aspectos de los sistemas de información utilizados por el empleado, incluidos los archivos en papel y otros medios, como los dispositivos de almacenamiento y equipos de telecomunicaciones.
Es importante recordar que solo porque los empleados trabajen desde su hogar u otra ubicación alternativa aprobada, no deja de ser su responsabilidad proteger y administrar los registros y otra información confidencial almacenada en dispositivos de teletrabajo y transmitidos a través de redes externas. Los empleados que trabajan desde casa necesitan mantener la propiedad y la información seguras y separadas de su propiedad e información personal.
Paralelo a la privacidad de la información, los trabajadores que realizan sus tareas de manera remota y sus organizaciones deben de tener en cuenta una serie de amenazas:
- Redes y dispositivos personales no seguros
Al tener que mudarse rápidamente de la oficina a su hogar, muchos empleados pueden tener que usar sus dispositivos personales y las redes WiFi del hogar para trabajar. Ambos a menudo carecen de los sistemas de protección integrados en las redes de las empresas, como firewalls y software antivirus.
- Campañas de phishing y llamadas fraudulentas
Trabajar desde casa significa que muchos empleados confiarán en el correo electrónico y el teléfono como sus principales métodos de comunicación con sus organizaciones. Esto aumenta el riesgo de suplantación para obtener información como detalles de inicio de sesión que pueden conducir a una violación de seguridad.
Operar en una red o dispositivo personal, junto con la posibilidad de recibir un correo electrónico de suplantación, aumenta las posibilidades de que se cargue ransomware o spyware en los sistemas informáticos de las organizaciones.
¿Cómo hacer frente a estas amenazas?
Tomar algunas decisiones sencillas para mantener una «buena higiene cibernética» puede ayudar a limitar las posibilidades de una violación de seguridad.
Para los profesionales de la seguridad, esto significa saber quién está conectado a su red, monitorear el comportamiento inusual o inexplicable y tener un plan para detener o remediar cualquier violación que pueda surgir, incluidas las comunicaciones claras y relevantes para todos en la organización.
Algunos pasos simples que pueden ayudar al trabajador a mantener un buen nivel de ciberseguridad mientras trabajan desde su casa son:
- Instalación de las últimas actualizaciones de software en el dispositivo
Mantenerse actualizado con los parches y actualizaciones de software de cada dispositivos es una manera simple, pero efectiva, de garantizar que tenga las últimas defensas para hacer frente a las vulnerabilidades de seguridad.
Para evitar el tiempo de inactividad, es conveniente que los trabajadores configuren las actualizaciones para que se ejecuten automáticamente durante la noche.
- Instalación de un antivirus
Muchos sistemas operativos vienen preinstalados con un antivirus. No obstante, si el dispositivo no tiene el software instalado, hay varias soluciones gratuitas disponibles, aunque no siempre sean la opción más adecuada.
- Contraseña segura y autenticación de dos factores
Es importante utilizar diferentes contraseñas para cada una de las cuentas. Si bien puede ser tentador permitir que el navegador web almacene las contraseñas, en su lugar es recomendable utilizar un administrador de contraseñas, para crear, recordar y autocompletar todas las contraseñas necesarias.
O bien, la compañía puede ir un paso más allá y configurar una autenticación de dos factores. Esto protegerá la cuenta del empleado en caso de que la contraseña se filtre en una violación de datos. Con este método, cada trabajador deberá completar un paso adicional al iniciar sesión en su cuenta, que puede ser un mensaje de texto, un correo electrónico o un método biométrico.
Si bien el teletrabajo permite que cada empleado pueda desempeñar sus tareas desde una localización distinta como puede ser una cafetería, los hackers pueden aprovechar esta oportunidad y atacar el dispositivo si ambos usan una red compartida a través de WiFi público.
Ante esta situación es recomendable que cada trabajador opte por usar un punto de acceso personal en su lugar, y utilice la VPN de su organización que cifrará la conexión web, haciéndola ilegible para cualquiera que intente interceptarla.
Como ya se ha comentado el phishing es una de las amenazas cibernéticas más comunes, a menudo toma la forma de un correo electrónico solicitando información personal, incrustando enlaces falsos o adjuntando un virus.
Los trabajadores deben de estar atentos a tales correos electrónicos ya que el remitente puede parecer alguien conocido y nunca deben compartir su información personal en un correo electrónico o archivos adjuntos abiertos si no los está esperando.
- Los dispositivos de trabajo son intransferibles
Por egoísta que parezca, es importante no permitir que los miembros de la familia utilicen los dispositivos de trabajo. La familia y los amigos no conocen los protocolos de seguridad de TI de la empresa y pueden violarlos involuntariamente o incluso descargar malware que puede propagarse rápidamente a través de los sistemas de la organización.
Si el trabajador necesita acceder a datos confidenciales mientras trabaja desde su hogar, la empresa debe asegurarse de mantener toda la información dentro de los sistemas y la red de su organización. Para ello, el empleado debe trabajar directamente en el servidor que aloja los datos aprovechan que las empresas tienen multitud de firewalls y una mejor protección integrada en sus sistemas que los ordenadores individuales pueden no tener.
Los dispositivos nunca deben estar desatendidos, además los discos duros deben estar siempre encriptados. Ya que, ante un hurto o una perdida si el disco duro está encriptado, al menos la empresa tiene la tranquilidad de que sus datos están seguros.
Guías oficiales
En respuesta al aumento drástico de los empleados que trabajan de forma remota, algunas organizaciones de distintos países han proporcionado guías oficiales, que aconsejan como se debe actuar para que esta forma de empleo no desencadene ninguna crisis empresarial.
En Estados Unidos, la Comisión Federal de Comercio de los EE. UU. (FTC) y el Instituto Nacional de Estándares y Tecnología de los EE. UU. (NIST) han emitido directrices para empleadores y empleados sobre las mejores prácticas para el teletrabajo de forma segura. Además, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) ha brindado asesoramiento sobre la identificación de trabajadores esenciales, incluido el personal de TI y ciberseguridad, en sectores de infraestructura crítica que deben mantener horarios de trabajo normales si es posible.
A nivel nacional no se ha publicado ninguna guía, sin embargo, las instituciones recomiendan mantener una rutina laboral sana, proporcionando a los trabajadores todas las herramientas necesarias para poder desempeñar sus tareas sin muchas alteraciones.
Trabajando desde casa, la organización de las tareas y las prioridades puede parecer un poco más confusas que en la oficina. Para optimizar este punto existen programas que ayudan a consultar tareas pendientes, priorizar, delegar tareas a otros miembros del equipo, etc.
Sin embargo, contar con demasiadas aplicaciones para organizarse es tan malo como no tener ninguna. Se recomienda que cada compañía escoja las únicas necesarias, que sean más intuitivas para tus trabajadores y que se adapten mejor al tipo de trabajo que desarrollan. Las mejores herramientas son aquellas que permiten conectarse en distintas plataformas, ofreciendo siempre los mismos resultados.
El último consejo de las autoridades viene en relación con el control de la jornada laboral. Un trabajador que desempeña sus funciones laborales a distancia está comprometido a realizar al 100% su jornada laboral, no trabajando ni más ni menos horas de las contratadas y llevando a cabo un control de horario.
Conclusiones
Una de las medidas preventivas clave para la propagación de Covid-19 es el distanciamiento social. Afortunadamente, en este mundo cada vez más conectado, se puede continuar virtualmente la vida profesional y privada. Sin embargo, con grandes aumentos en el número de personas que trabajan de forma remota, es vital que también se preste especial atención a la “higiene cibernética”.
Aunque siempre es preferible establecer políticas claras de trabajo a distancia y capacitación por adelantado, en tiempos de crisis u otras circunstancias que cambian rápidamente, este nivel de preparación puede no ser factible. Afortunadamente, hay pasos específicos basados en la investigación que los ejecutivos pueden realizar sin un gran esfuerzo para mejorar el compromiso y la productividad de sus empleados, incluso cuando hay poco tiempo para prepararse.
