Aviso a navegantes: los hackers teletrabajan mejor que nadie

3657
Alberto Fernández Bonet. Abogado especializado en Derecho Digital y responsable del área sobre ciberseguridad en el despacho de abogados Términos y Condiciones

Desde principios de marzo y sobre todo desde el Real Decreto de 14 de marzo por el que se imponía Estado de Alarma, muchas empresas han optado por el teletrabajo para poder seguir funcionando.

Ciertamente el teletrabajo es una gran alternativa para evitar desplazamientos, contagios y mantener cierta actividad productiva. 

Sin embargo, es una fórmula novedosa para la mayoría de empresas y organizaciones, de hecho se estima que a finales de 2019 la cifra de profesionales que habitualmente teletrabajaban no llegaba al 8%.

En la situación actual, muchísimas empresas que nunca se lo habían siquiera planteado, prácticamente se han visto obligadas a implantarlo y muchas no están preparadas para ello.

Dejando atrás cuestiones de índole laboral, como quién paga el Internet en caso de teletrabaja o si la empresa debe o no proporcionar un dispositivo al trabajador, lo que puede significar mayor riesgo para la actividad de la empresa es la ciberseguridad.

Implementar una política o cultura de teletrabajo, no es mandar al trabajador a su casa y decirle “que vaya haciendo”. Si creemos que únicamente consiste en eso, tenemos todos los ingredientes para que la experiencia se convierta en un fracaso.

De este modo, vamos a dar cinco pequeños consejos para tener unos mínimos en materia de ciberseguridad a la hora de teletrabajar.

1.- Se consciente de que seguramente no estás preparado.

Seguramente en tu empresa se cumplían determinados mínimos de seguridad con respecto a contraseñas, dispositivos o actualizaciones que ahora no puedes controlar y no has tenido tiempo para establecer un protocolo claro al respecto.

Bien, pues nunca es tarde y cada día que pase te expones a más riesgos. 

2.- Da por sentado que en tu organización -y más ahora- existen vulnerabilidades que pueden ser explotadas en tu contra.

Tu empresa se adentra quizás por primera vez a las implicaciones del teletrabajo, múltiples conexiones, accesos en remoto, dispositivos personales que alternan usos profesionales y domésticos… y lamentablemente, esto que no quieres que lo sepa nadie, se intuye por los ciberdelincuentes.

En estos días, como podemos ver en la siguiente imagen, los ataques a redes se han multiplicado. 

pastedGraphic.png

Fuente: Kaspersky, cybermap, ataque a redes en el último mes en España.

3.- Nunca es tarde, la diferencia -desgraciadamente- es estar mejor preparado que la quien tengas al lado.

Haz un análisis de riesgos en tu empresa. 

  1. Determina cuántos trabajadores van a trabajar desde casa.
  2. Si tienen dispositivo proporcionado por la empresa o usarán el suyo propio.
  3. Identifica a través de los trabajadores qué tipo de conexión tienen en su casa así como si sus dispositivos cuentan con antivirus.
  4. Valora cuántos de ellos requieren acceder a la información de la red interna de la empresa y si es conveniente restringir permisos o accesos.

4.- Todo puede corregirse pero indudablemente, todo tiene un precio.

Como habrás podido comprobar, tenemos disparidad de dispositivos, de tipos de conexión, de antivirus (seguramente gratuitos…) y si, seguramente el ordenador que van a usar para trabajar se use también para ocio o por otras personas.

Es el momento de tomar una decisión con respecto al gasto ya que las medidas a implantar serán distintas según nuestra disponibilidad presupuestaria.

En un supuesto ideal:

  • Cada trabajador tendrá su propio dispositivo,
  • proporcionado por la empresa,
  • debidamente identificado dentro de la red interna de la organización para que pueda conectarse ese y no otro,
  • con una contraseña robusta para acceder a él,
  • correctamente actualizado,
  • con un buen antivirus 
  • y, dado que la conexión Wi-Fi del hogar no podemos controlarla, hemos contratado una Red Privada Virtual (VPN).

Siendo realistas, que buena falta nos hace:

  1. Vamos a contratar un antivirus para los empleados.
  2. Vamos a valorar si podemos asumir una VPN.
  3. Donde no llegue el presupuesto debe llegar la información y la formación.

5.- Un trabajador formado es la mejor y más valiosa medida de seguridad para una empresa.

Es imprescindible que los trabajadores sean conscientes de las debilidades de la organización y de los riesgos de la nueva modalidad de trabajo. El trabajador siempre debe estar alineado con la cultura de seguridad de la empresa.

Una vez informado, debemos formarle con respecto a cómo debe llevar a cabo su actividad ahora que teletrabaja.

Ello debe incluir:

  • Pautas sobre la correcta utilización de los dispositivos de trabajo.

Limitando actividades no profesionales en la medida de lo posible, realizando particiones o usuarios diferenciados, actualizando cuando sea necesario e instalando aquellas herramientas elegidas por la empresa para garantizar la seguridad de la información.  

Del mismo modo, debe implantarse una política clara sobre contraseñas y cierre de sesión así como del uso correcto del correo electrónico.

  • Indicaciones de seguridad sobre las conexiones.

La red Wi-Fi del hogar tiene configuraciones más o menos seguras y en ella se puede limitar qué dispositivos pueden acceder. Del mismo modo, en caso de poder implementar una VPN, tiene que saber cómo funciona.

  • Soporte en caso de incidencia.

El trabajador debe saber detectar que algo ha pasado y qué hacer en ese caso. Un catálogo de incidencias y el modo de proceder en cada caso facilitará y agilizará mucho nuestra respuesta ante una amenaza.

Con todo ello, estarás mucho más preparado para evitar y responder ante una amenaza cibernética, aún así, recuerda que existen los “ciberseguros” por si quieres cubrir todas las posibilidades.

Y tú, ¿Qué opinas?