El trabajo en remoto puede venir acompañado de una serie de riesgos que pueden no solo suponer la pérdida o robo de datos e información confidencial de una empresa, sino también provocar la interrupción del negocio y dañar su imagen y su reputación. Para ayudar a las empresas a promover el trabajo remoto seguro entre sus empleados a distancia, os traemos 7 claves básicas para adoptar e implementar.
Claves para tener un trabajo remoto seguro
En este artículo hablamos de:
1. Conexiones seguras
Es, quizás, uno de los primeros requisitos del teletrabajo, usar conexiones seguras para que los trabajadores a distancia se conecten a la red interna de la organización, puedan acceder a sus recursos y trabajar a través de ella.
Estas conexiones seguras las podemos establecer a través del uso de una VPN (redes virtuales privadas) basada en el cliente, ya que requieren de autenticación para poder conectarse a la red de la empresa. Esta autenticación, basada en usuario y contraseña, puede reforzarse recurriendo a la autenticación de doble factor.
La VPN crea un «túnel» entre los sistemas de la empresa y el dispositivo del empleado, protegiendo el tráfico de datos e información que viaja a través de ese túnel, de manera que cualquier intercambio de los mismos es seguro, incluso sí nos conectamos a través de una red pública (algo que, en cualquier caso, siempre es desaconsejable cuando queremos acceder la red interna de la empresa).
2. Gestión de roles
Aplicar la gestión de roles va mucho más allá de garantizar el trabajo remoto seguro y debería aplicarse a todos los empleados de la organización, tanto a distancia como presenciales, ya que a través de este sistema basado en roles (o perfiles de usuario) se limita el acceso a la información y su modificación a aquellos roles o usuarios autorizados en función de su nivel de seguridad y de las labores que deba desempeñar en la empresa.
Por ejemplo, un creador de contenido, como puede ser la redacción de artículos, debe tener acceso al panel de control de la web y al editor de textos, pero no necesita acceder a la base de datos de suscriptores de la web.
Se trata de establecer niveles de acceso basados en las funciones de los empleados y los recursos a los que necesitan acceder para poder llevarlas a cabo.
3. Control de dispositivos endpoint
Otro de los requisitos para el control del teletrabajo y el mantenimiento de la seguridad, es el control de los dispositivos endpoint. Estos dispositivos son aquellos que usan los trabajadores a distancia para conectarse a la red de la empresa, es decir, ordenadores, móviles o tablets, que deben contar con todas las medidas de seguridad necesarias para evitar ser el punto de entrada de un ciberataque.
Esta seguridad endpoint es especialmente importante respecto a los dispositivos empleados por los teletrabajadores que no son los proporcionados por la empresa (que suelen estar más controlados y contar con soluciones de seguridad adecuada), sino del propio empleado, que, salvo que este dedique el equipo exclusivamente para el trabajo, puede representar diferentes vulnerabilidades.
Por ejemplo, si un empleado usa para conectarse a la red de la empresa el mismo ordenador que comparte con el resto de los miembros de su familia, en el que se descargan todo tipo de aplicaciones y contenidos de dudosa procedencia, podría ser usado como punto de acceso por los cibercriminales para entrar en dicha red e infectarla o proceder con el robo de datos, entre otras ciberamenazas.
Para mejorar la seguridad endpoint, la organización debe establecer unas reglas respecto al uso de dispositivos particulares (siempre actualizados, con una solución de seguridad aprobada instalada, etc.) y las consecuencias de no cumplir con ellas. Hay que tener en cuenta que al tratarse de dispositivos personales, la organización se verá más limitada a la hora de imponer dichas reglas, por lo que siempre es más recomendable facilitar equipo corporativo que cumpla con los estándares de seguridad del departamento TI.
4. Monitorea el tráfico de red
El monitoreo del tráfico de red es algo que debe formar parte de la solución de seguridad implementada por la empresa, pero especialmente cuando tiene trabajadores a distancia, puesto que hay un aumento de conexiones y accesos desde fuera del perímetro de la oficina.
Este monitoreo debe seguir los distintos tipos de tráfico, como pueden ser los intentos de acceso recurrentes y fallidos en un intervalo de tiempo determinado, el acceso a archivos o la descarga de los mismos, etc. Se trata de monitorear la red en busca de comportamientos sospechosos, evaluar el nivel de riesgo que representan y tomar las medidas de seguridad necesarias para evitar males mayores ante una posible amenaza de ataque.
5. Soluciones de seguridad contra el malware
Con soluciones de seguridad contra el malware, no solo nos referimos a antivirus que detecten un virus cuando ya está en el sistema, sino también aquellas soluciones capaces de detectarlos incluso antes de que lleguen a ejecutarse.
Es muy importante contar con este tipo de soluciones de seguridad, capaces de detectar diferentes tipos de malware, desde virus, pasando por troyanos, hasta el ransomware, porque los equipos de trabajo en remoto suelen estar más expuestos a estas amenazas, en parte por lo que ya vimos sobre el uso de dispositivos personales, y en parte porque los empleados a distancia suelen relajarse más a la hora de navegar y usar Internet.
6. Elabora una política de ciberseguridad para el trabajo en remoto
Si una organización quiere realmente reforzar su ciberseguridad para el trabajo en remoto, es fundamental contar con unas reglas de juego para los empleados a distancia.
Es decir, debe elaborar una política de ciberseguridad en la que se recojan aspectos como:
- Qué tipo de dispositivos se pueden usar (¿solo los facilitados por la empresa?, ¿personales?)
- Qué solución de seguridad deben tener instalados los dispositivos personales
- Obligación de conectarse siempre a través de la VPN
- Usar contraseñas seguras (fijando un número de caracteres mínimo o incluso el uso de un administrador de contraseñas)
- Prohibición de conectarse a través de redes públicas
- Protocolo para el acceso y uso de información confidencial de la empresa
- Realizar copias de seguridad
- Definir el proceso de recuperación
- Determinar las consecuencias de no cumplir con la política de ciberseguridad
Cada organización deberá adoptar esta política de ciberseguridad a sus necesidades particulares y a su realidad.
7. Formación y concienciación de los empleados
Finalmente, nuestra última clave para un trabajo remoto seguro es formar y concienciar a los empleados a distancia de la importancia de, por un lado, respetar las reglas dispuesta en la política de ciberseguridad de la empresa, y, por otro lado, de las consecuencias que sufrir un ciberataque puede tener para la propia empresa, sus empleados y clientes.
Se debe hacer conscientes a los empleados de los riesgos que supone usar equipos con programas obsoletos o no actualizados, de conectarse a través de una WiFi pública, de no contar con una solución de seguridad adecuada, de no ser precavidos ante emails sospechosos o descargar contenidos de páginas web no seguras, etc. Se trata de hacerles entender que en lo que la ciberseguridad de la empresa se refiere, ellos son el punto más débil y que por ello deben seguir las indicaciones de la política de ciberseguridad.
Para ello, se puede recurrir a cursos de formación en ciberseguridad o jornadas especiales dedicadas a reforzar conceptos relacionados con la misma, además de hacer pruebas y tests que les pongan a prueba.