La situación actual tras el decreto del estado de alarma del gobierno de España el pasado 14 de Marzo por el COV-19, ha hecho que nuestra vida cambie, se paralice en algunos aspectos, aprendamos a valorar muchas cosas, cambiando para siempre nuestra forma de ver la vida. A partir de este día muchos de los españoles que a diario iban a trabajar a una empresa, oficina o despacho, continúan trabajando gracias al teletrabajo.
Este teletrabajo es posible gracias a las comunicaciones que tenemos en nuestro país, y a tantas empresas del sector y profesionales de las telecomunicaciones que han creado, ampliado, mejorado de forma continuada en los últimos años esas vías o carreteras de la comunicación, y que en estos días cuidan de que sigan a pleno rendimiento.
Pero al igual que cualquier conducción en carretera convencional, para circular por las mismas es necesario tener las medidas de seguridad y precauciones necesarias, en el caso del teletrabajo la ciberseguridad sería como el cinturón de seguridad en un vehículo, puedes o no tenerlo presente pero llegado el accidente, es el cinturón el que puede evitar males mayores, así como las precauciones y medidas a tomar a la hora de teletrabajar en materia de ciberseguridad pueden prevenir catástrofes dentro de una empresa.
Lo primero para teletrabajar es tener formado y concienciado al eslabón más débil de esta cadena, el trabajador. En muchas ocasiones se está activando el teletrabajo sin unas nociones, procedimientos o formaciones básicas, algo primordial para no tener errores, o fallas de seguridad.
Muchos empresarios piensan que la seguridad en la red la tiene controlada el informático de la empresa, los antivirus, firewalls, routers, etc… ¿pero tenemos casos contemplados como el siguiente?: Un trabajador está conectado en remoto a su puesto de trabajo desde su casa con acceso completo a servidores, red interna, etc… y de pronto necesita levantarse de su asiento por algún motivo…, se ausenta…, y en ese momento llega su hijo pequeño que se va rápidamente al pc de su padre a ver algún dibujo en Youtube, cerrando y aceptando todo aquello que no le interesa y pulsando sin pensar lo que ve a su paso, hasta conseguir su objetivo (“ver los dibujos…”).
En este caso tan simple y con mayores posibilidades hoy en día en la vida real, la ciberseguridad no está o depende de los medios de la empresa, está en el cierre de cesión antes de levantarse del asiento y dejar el pc, o el bloqueo de la sesión del pc hasta la vuelta o puesta en marcha. Esto que parece tan simple, tan como diríamos “de sentido común…”, en muchas ocasiones provoca mayores problemas que un virus externo, de ahí mi primera indicación de la formación y concienciación del trabajador; a partir de aquí veremos recomendaciones en materia de ciberseguridad .
En el teletrabajo existen varios niveles de seguridad que se pueden implantar en función de las posibilidades y herramientas de cada empresa, así como el uso de los equipos, accesos necesarios y funciones en la misma.
Los puntos y recomendaciones más importantes a tener presente cuando se realiza teletrabajo son:
- Acceso a la red de la empresa a través de una VPN mediante autenticación con cifrado de máquina.
- Activación de doble factor de autenticación en todos accesos tanto a servicios remotos dentro de la VPN como externos a la misma (por ejemplo, en videoconferencias)
- Control de las IPs que pueden acceder a los servicios desde el exterior de la red, desde la activación de la VPN, hasta la monitorización de las tan usuales estos días “videoconferencias” con acceso a la red de la empresa para compartir contenidos.
- Revisión de los logs de los equipos en red más sensibles para verificar acceso a deshoras, descargas o subidas masivas desde IPs no monitorizadas a servidores de datos, correo electrónico, o FTPs.
- Control periódico de los cambios de claves, máxime en estados continuados de teletrabajo.
- En equipos no corporativos que tengan opción al envío de correos electrónicos, revisar los destinatarios de los mismos antes del envío y con posterioridad al mismo de forma continuada, evitando usurpaciones o copias a personas no autorizadas por configuraciones erróneas en dicho equipo (por ejemplo, el teléfono móvil personal con acceso por parte total o parcial de la familia del trabajador)
- En todas las videoconferencias es importante que se cumpla:
- Acceso a la videoconferencia a través de clave individual por cada asistente a la misma que será asignada por el administrador.
- Temporizar la sesión en un horario cerrado, dejando anulada la posibilidad de acceso fuera del día y hora para la que fue convocada.
- Desactivación de accesos directos a la reunión: todo personal asistente debería pasar a una sala de espera virtual a la espera de ser aceptado por el administrador.
- El administrador de la videoconferencia deberá poder visualizar y gestionar el bloqueo de la grabación de la videoconferencia por personal no autorizado.
- Visualización del estado de las posibles grabaciones.
- Control de acceso y rechazo a la videoconferencia , así como al uso de la compartición de datos por el administrador.
- Señalización de acceso con pitido o sonido que distinga el acceso o salida de asistentes.
- Cifrado de la video conferencia a ser posible con AES-128 o superior en el tráfico de datos multimedia.
- Control de activación de audio y video, configurando la conexión inicial por defecto sin audio ni video.
- Hacer copias de seguridad de los datos sensibles del pc local de forma automática en algún repositorio en la nube o en el propio servidor de la empresa, para evitar pérdidas por deterioro o rotura del pc.
Junto a los puntos anteriormente citados, no cabe duda que el cambio de contraseña de las redes Wifi de nuestras viviendas y la del router de forma asidua, no sólo ayudan a prevenir problemas con el teletrabajo, sino que nos protege en nuestro día a día.
Cada día tenemos más equipamiento en casa conectado a la red como TVs, Móviles, videojuegos, relojes, robores de limpieza, etc… es muy importante tener al día todas las actualizaciones y revisar los parámetros de seguridad a menudo, son otro de los eslabones más débiles de la ciberseguridad en el hogar y en estos días de la ciberseguridad en nuestro teletrabajo.
Para finalizar sólo recordar que, al igual que no vemos viable circular por una autopista sin cinturón de seguridad, no lo hagamos sin medidas de ciberseguridad en las autopistas de la comunicación, velemos por la seguridad en la red, concienciémonos nosotros así como a todos los que nos rodean.
Paco Jaén Cubero
Colegiado: 9367
Delegado de Ciberseguridad y Nuevas Tecnologías del COITTA