Debido al estado de alarma provocado por el coronavirus, muchas administraciones y organismos públicos están promoviendo el teletrabajo para garantizar la continuidad de sus funciones y servicios. El teletrabajo, sin embargo, puede plantear riesgos de ciberseguridad si no se ha planificado con tiempo, no se ha formado adecuadamente al personal y no se han configurado de forma segura los equipos y las conexiones. Dado el contexto actual de urgencias, es posible que todo esto no se haya podido realizar en muchos casos; por este motivo os ofrecemos una selección de las principales medidas de protección básicas a tener en cuenta que os pueden ayudar a teletrabajar minimizando los riesgos de seguridad en el tratamiento de la información de vuestra organización.
Es imprescindible tener en cuenta que que la situación actual es muy atractiva para “hackers” criminales para robar contraseñas y secuestrar información confidencial a cambio de un rescate. Casos de este tipo han sucedido en los últimos meses en administraciones públicas con grave perjuicio económico y de reputación.
Esta selección se ha elaborado con el objetivo de facilitar una guía práctica y ejecutiva, dirigida a usuarios no expertos de administraciones públicas medianas y pequeñas, que no disponen de recursos para aplicar un plan completo y avanzado de seguridad. Queremos evitar un exceso de información y hacer recomendaciones no viables en las circunstancias en que nos encontramos. Para los usuarios que tengan interés en profundizar en este tema, facilitamos enlaces adicionales al final de la guía.
Estas recomendaciones son de carácter general. Si su organización dispone de una guía de ciberseguridad propia haga caso de aquella.
Aspectos organizativos
Sigue las instrucciones de seguridad del responsable tecnológico de tu organización
Haz uso de las herramientas y aplicaciones autorizadas por parte de tu organización. Si tienes la necesidad de utilizar otras soluciones sé prudente y utiliza sólo aplicaciones de confianza.
Además…
- Valida que se realizan copias de seguridad de los documentos corporativos que trabajarás desde casa.
- Ten muy claro cual es el canal de comunicación de incidencias y de resolución de dudas.
- Notifica inmediatamente cualquier incidente de ciberseguridad al responsable tecnológico de su entidad.
Equipo de trabajo
Desde tu equipo de trabajo de casa tendrás acceso a la información confidencial de tu organización. Tanto si utilizas un ordenador corporativo como un ordenador personal hay que tener en cuenta un conjunto de medidas de protección y preventivas. Si utilizas un equipo de trabajo corporativo lo más habitual es que ya cumpla la mayoría o la totalidad de las recomendaciones a través de las políticas de seguridad que ha forzado el administrador.
Asegúrate de que el sistema y las aplicaciones están actualizadas con la última versión de cada una de ellas y que la actualización automática de versiones está activada.
– Para Windows
– Para MAC
Comprueba que tu ordenador tiene un sistema anti-virus y anti-malware activo.
– Para Windows: activa Microsoft Defender Anti-malware
– Para MAC: instala alguna solución de mercado con una versión gratuita: Kaspersky, Avast, AVG, Bitdefender, etc.
Aplica el bloqueo automático de la pantalla al cabo de diez minutos.
Además…
- Crea en tu sistema operativo una cuenta independiente para la familia y para teletrabajar. Hay que evitar cualquier acceso no autorizado a información confidencial.
– Para Windows
– Para MAC
Conexión a Internet y acceso remoto
Evita utilizar redes públicas WiFi que no sean conocidas y de confianza para acceder remotamente a los servicios de la organización.
Además…
- Utiliza, si es posible, los servicios de conexión remota VPN (red privada virtual) que recomiende tu organización para acceder a los sistemas de información corporativa.
- Configura la contraseña del Router con sistemas de encriptación segura: WPA3 (preferentemente) o WPA2.
Copias de seguridad
Toda la documentación ofimática que generes en el ordenador privado que uses para tele y no sea guardada en el servidor de la organización, seguramente no dispondrá de un sistema de copia de seguridad automatizado. Por lo tanto, es recomendable que tomes la precaución de realizar copias de seguridad.
Haz copias de seguridad de los documentos generados en local a través de alguno de los siguientes mecanismos:
– Memorias USB: previamente deberías haber limpiado o formateado el dispotitivo para garantizar que no supone ningún riesgo
– Disco duro externo
– Servicio de almacenaje en la nube autorizado por la organización
Contraseñas y autenticación
Utiliza, siempre que sea posible, el acceso a los sistemas de información con certificado digital o sistemas de autenticación de doble factor para evitar que te roben la contraseña. (Los sistemas de doble factor se basan en códigos de un solo uso que se envían por SMS o bien a una APP)
Usa contraseñas complejas: combinación de caracteres especiales, números y letras mayúsculas y minúsculas.
No apuntes las contraseñas corporativas en ningún lugar
Si instalas certificados digitales en software en tu ordenador personal (TCAT-P, idCAT Certificado) utiliza la opción “Escribir la Contraseña para la clave privada”: de esta forma sólo se podrá utilizar el certificado digital si se conoce la contraseña.
Además…
- Si tienes que utilizar muchas cuentas con diferentes usuarios y contraseña, utiliza una aplicación para gestionar de forma segura las diferentes contraseñas. Existen varias soluciones que ofrecen una versión gratuita (LastPass, Dashlane, etc). Los dispositivos Apple – iOS disponen de un gestor de contraseñas integrado con el sistema operativo.
Navegación segura por Internet
Evitar la navegación por páginas no seguras y evitar la instalación de cualquier software o contenido dudoso.
Además…
- Los navegadores web de los medios deberán estar actualizados y configurados con la última versión y parches de software.
- Eliminar periódicamente el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales. Así evitamos potenciales elementos espías.
Phishing
El phishing es un tipo de ciberdelito que consiste en el envío de correos fraudulentos con el objetivo de robar la contraseña u otra información personal. Es una de las estafas más utilizadas por los delincuentes informáticos. El funcionamiento del phising es sencillo: se recibe un correo electrónico, con una apariencia legítima que pide actualizar, validar o confirmar información mediante un enlace. Tras pulsar en él, se te redirige a una página web falsa, en la que se procede al robo de la contraseña u otros datos.
No hagas clics en enlaces, ni descargues ningún documento adjunto de correos electrónicos sospechosos. Sospecha de correos electrónicos que piden hacer actuaciones no habituales de renovar contraseñas. Revisa la dirección del remitente (no el alias) de los correos electrónicos aparentemente legítimos.
Además…
- Cuando te conectes vía web verifica en la barra del navegador que la dirección web del destino es la correcta. Los ciberdelincuentes pueden replicar completamente una web y robarte tu contraseña.
Cuando acabes de trabajar
Cerrar todas las conexiones a los sistemas de información y webs corporativas.
Haz una copia de seguridad de los documentos locales que has trabajado y que no están cubiertos por la copia de seguridad corporativa.
Y además…
- Elimina el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales.
Más información
A los usuarios que deseen ampliar esta información les recomendamos que visiten las siguientes páginas web especializadas:
Agradecimientos
Este conjunto de recomendaciones ha sido elaborado a partir de recursos propios de AOC, de las directrices de la Agència de Ciberseguretat de Catalunya, la Associació Catalana d’Enginyers de Telecomunicació (Telecos.cat), los consultores Genís Margarit Contel y Cristina Ribas Casademont, y de los documentos del apartado “Más información”.
Desde AOC queremos agradecer todas las aportaciones desinteresadas y proactivas que hemos recibido y que son muy útiles y valiosas en este momento para garantizar la seguridad de los sistemas de información del sector público.
Notas
- Está guía está abierta a sugerencias, propuestas de mejora y correcciones. Tus comentarios serán muy bienvenidos: Nos los puedes enviar a innovacio@aoc.cat
- Hemos solicitado a usuarios de la comunidad de software libre que nos ayuden a completar la guía con las recomendaciones específicas para sistemas operativos basados en Linux