El teletrabajo, ese gran desconocido, ha pasado de ser una opción ocasional para muchos trabajadores a convertirse en la mejor alternativa para que las empresas puedan continuar con su actividad en pleno estado de alarma por la crisis sanitaria provocada por el Coronavirus.
Para adaptarse a los retos y nuevas realidades que este método de trabajo supone es necesario que las empresas refuercen sus políticas de Ciberseguridad a todos los niveles. Por esta razón, desde Confianza Online te ayudamos en esta importante tarea recopilando los consejos que debes tener en cuenta, en diferentes ámbitos de tu actividad, a través de las recomendaciones facilitadas por organismos como OSI o INCIBE.
Lanzar «Ataques dirigidos» para concienciar a los trabajadores
Teniendo en cuenta que la mayor parte de los ciberataques se producen por correos electrónicos, se recomienda realizar “ataques dirigidos” a modo de pruebas, diseñadas para evaluar el nivel de concienciación de los trabajadores. En este sentido, hay que evitar clicar en enlaces que parezcan sospechosos y es importante no descargar materiales o aplicaciones de páginas y fuentes fiables. El factor humano es por lo tanto la clave principal sobre la que se debe trabajar para evitar un gran número de ataques como son los correos que suplantan la identidad de contactos habituales para acceder a la información confidencial de las empresas.
Revisar la seguridad de las contraseñas
Reforzar la seguridad de las contraseñas de todos los elementos utilizados como son el correo electrónico, la clave WI-FI, aplicaciones y cualquier herramienta de acceso a materiales de trabajo. Se aconseja que para crearlas se utilicen al menos ocho caracteres, combinando números y símbolos con letras mayúsculas y minúsculas.
Utilizar los dispositivos de la empresa solo para trabajar
Es necesario evitar el uso del ordenador portátil y otros dispositivos de la empresa para un uso personal ya que su utilización fuera del ámbito laboral conlleva mayores riesgos teniendo en cuenta que se trata de actividades de ocio o personales en las que, al tratarse de un ambiente más distendido y relajado, se puede bajar la guardia con mayor facilidad. En cuanto a la conexión a internet se recomienda trabajar por cable y, en el caso de que no sea posible, utilizar únicamente redes inalámbricas de confianza.
Reforzar la seguridad cuando se usan redes públicas
Ante la necesidad de utilizar puntualmente redes de conexión abiertas como las de aeropuertos o cafeterías, se deben extremar todas las precauciones y aumentar las medidas de seguridad teniendo en cuenta que estos son los casos que más aprovechan los ciberdelincuentes para acceder a datos sensibles y robar información confidencial además de para infectar en cadena a todos los usuarios que se encuentren conectados a la misma red.
Aplicar el principio de «Confianza Cero»
El teletrabajo se debe realizar sobre la base de comprobar y asegurarse en todo momento de verificar quién puede acceder a la información y a los datos de la empresa. Para aplicar este control será necesario implementar medidas de autentificación múltiple que permitan, por ejemplo, a través de códigos de seguridad, autorizar accesos a la información clave para la empresa. Estas medidas deberán ser especialmente exhaustivas en los casos en los que los trabajadores tengan que utilizar sus dispositivos personales y tendrán que contemplar un plan de gestión de amenazas ante ciberataques o fugas de datos que se puedan propagar desde el dispositivo personal del empleado hasta los de la red empresarial.
Utilizar herramientas de trabajo en remoto seguras
Implementar modelos SDP o soluciones VPN, sistemas de cifrado seguro tecnologías que protegen y encriptan las conexiones en red para asegurar que la infraestructura sea lo suficientemente potente para soportar un gran volumen de tráfico.
Proteger los datos clave del negocio
Elaborar planes específicos para analizar, identificar, especificar y etiquetar los datos importantes de la empresa para garantizar su correcta protección y establecer diferentes niveles de acceso. De esta manera los datos más sensibles únicamente serán accesibles para una parte del equipo que los necesita para el funcionamiento del negocio.
Cumplir con la normativa de protección de datos
Asegurarte de que los trabajadores han firmado las cláusulas por las que adquieren el compromiso de confidencialidad para tratar datos personales de la empresa, dejando claro que se le ha informado correctamente de las consecuencias de no cumplir con este requisito.
En este sentido, desde la AEPD aportan recomendaciones a los responsables de tratamiento:
- Definir una política de protección de la información para situaciones de movilidad;
- Elegir soluciones y prestadores de servicio confiables y con garantías;
- Restringir el acceso a la información;
Para el personal que participa en las operaciones de tratamiento de datos, entre otras, se recuerda la importancia de:
- Respetar la política de protección de la información en situaciones de movilidad definida por el responsable;
- Comunicar lo antes posible una posible brecha de seguridad cuando se sospeche que la información se ha podido ver comprometida.
Revisar los sistemas de almacenamiento
Si se han contratado proveedores de almacenamiento o copias de seguridad en la nube es necesario asegurarse de que los servidores de estas empresas se encuentran dentro de la Unión Europea y se deberá tener firmado un contrato ya que dicho proveedor es un encargado del tratamiento de datos. También se recomienda que los sistemas contratados faciliten un control de versiones para identificar en qué momento o quién ha modificado algún archivo y recuperar ficheros que por error se hayan modificado o eliminado. Es importante también informar a los trabajadores de qué información no se deberá almacenar es este tipo de herramientas.
Implementar medidas informáticas para garantizar la seguridad
Es fundamental mantener actualizados, siempre con licencia original, programas, sistemas operativos, antivirus, cortafuegos y aplicaciones de ofimática. En la misma línea, es conveniente habilitar la supervisión en remoto del estado de seguridad de los equipos además del cifrado de datos.
Realizar copias de seguridad
Hacer con regularidad copias de seguridad de la información que se genere y almacene en los equipos como pueden ser: los datos que se guardan en discos duros y carpetas con información clave para tu negocio. En este sentido, lo recomendable es disponer de tres copias de seguridad, ya que una se utilizará para trabajar y las otras dos se guardarán como backups para asegurar la continuidad del trabajo ante posibles pérdidas de información. Respecto a los soportes, se recomienda almacenar los datos tanto en la nube como en un disco duro, de esta manera, si uno de ellos falla, nos aseguramos de seguir teniendo disponible la información clave para la continuidad de la actividad de nuestro negocio.
Consultar información especializada
En momentos como los que estamos viviendo actualmente es más importante que nunca contrastar la información que recibimos. La mejor forma de evitar los fraudes online es mantenerse informado con las últimas novedades en materia de Ciberseguridad que alertan sobre los ataques más comunes que pueden poner en riesgo la seguridad digital de tu empresa.
Material extra sobre Ciberseguridad para tu empresa
INCIBE te facilita de forma gratuita una gran cantidad de material formativo sobre Ciberseguridad en la información, estafas a través de medios electrónicos, contraseñas, requisitos para los puestos de trabajo y redes sociales, entre otros puntos. Podrás facilitar los recursos a tus empleados a través de diferentes formatos y tendrán la opción de evaluar sus conocimientos a través de un test que les permitirá comprobar si han asimilado los conocimientos necesarios.
Además, ante cualquier duda o incidencia, INCIBE facilita un teléfono de atención gratuita: el 017 es la línea gratuita de ayuda y apoyo que te ofrece soporte en todo momento en materia de ciberseguridad.
Principales organismos de Ciberseguridad
A nivel nacional
- Instituto Nacional de Ciberseguridad (INCIBE), dentro del Ministerio de Economía y Empresa.
- CCN-CERT, centro de alerta y respuesta a ciberataques a nivel nacional.
- CNPIC, Centro Nacional para la Protección de las Infraestructuras Críticas.
- MCCD, Mando Conjunto de Ciberdefensa.
A nivel europeo
- ENISA, centro de conocimientos especializados para la seguridad cibernética en Europa.