GUÍA RÁPIDA PARA TELETRABAJAR CON SEGURIDAD
Debido al estado de alarma provocado por el coronavirus, muchas administraciones y organismos públicos están promoviendo el teletrabajo para garantizar la continuidad de sus funciones y servicios. Sin embargo, el teletrabajo puede plantear riesgos de ciberseguridad si no se ha planificado con tiempo, se ha formado adecuadamente al personal y se ha configurado de forma segura los equipos y las conexiones. Dado el contexto actual, es posible que todo esto no se haya podido realizar en muchos casos; por este motivo le ofrecemos una selección de las principales medidas de protección básicas a tener en cuenta que le pueden ayudar a teletrabajar minimizando los riesgos de seguridad en el tratamiento de la información de su organización.
Tenga presente que la situación actual es muy atractiva para los ciberdelincuentes para robar contraseñas y secuestrar información confidencial a cambio de un rescate. Casos de este tipo han sucedido en los últimos meses en administraciones públicas con grave perjuicio económico y reputación.
Esta selección se ha elaborado con el objetivo de facilitar una guía práctica y ejecutiva, dirigida a usuarios no expertos de administraciones públicas medias y pequeñas, que no disponen de recursos para aplicar un plan completo y avanzado de seguridad. Queremos evitar un exceso de información y realizar recomendaciones no viables en las circunstancias en las que nos encontramos. Para los usuarios que tenga interés en profundizar en este tema, facilitamos enlaces adicionales al final de la guía.
Estas recomendaciones son de carácter general. Si su organización dispone de una guía de ciberseguridad propia haga caso de ésta.
1. Aspectos organizativos
Sigue las instrucciones de seguridad del responsable tecnológico de tu organización.
Haz uso de las herramientas y aplicaciones autorizadas por parte de tu organización. Si tienes la necesidad de utilizar otras soluciones sé prudente y utiliza sólo aplicaciones de confianza.
Y además ...
Valida que se realizan copias de seguridad de los documentos corporativos que trabajarás desde casa.
Entérate bien de cuál es el canal de comunicación de incidencias y de resolución de dudas.
Notifica de inmediato cualquier incidente de ciberseguridad al responsable tecnológico de tu entidad.
2. Equipo de trabajo
Asegúrate de que el sistema y las aplicaciones están actualizadas con las últimas versiones y que la actualización automática de versiones está activada.
Comprueba que tu ordenador tiene un sistema deanti-virus y anti-malware activo.
- Para Windows: activa Microsoft Defender Anti-malware
- Para MAC: instala alguna solución de mercado con una versión gratuita: Kaspersky, Avast, AVG, Bitdefender, etc.
apliquelo bloqueo automático de la pantalla diez minutos después.
Y además ...
Crea en tu sistema operativo una cuenta independiente para tu familia y para teletrabajar. Debe evitarse cualquier acceso no autorizado a información confidencial.
Activa un Cortafuegos (firewall) en tu equipo.
3. Conexión a Internet y acceso remoto
Evita utilizar redes públicas WiFi que no sean conocidas y de confianza para acceder remotamente a los servicios de la organización.
Y además ...
Utiliza, en su caso, los servicios de conexión remota VPN (red privada virtual) que recomiende tu organización para acceder a los sistemas de información corporativa.
Comprueba que el Router de conexión a Internet no utiliza la contraseña por defecto de fábrica. En Internet y YouTube encontrarás muchos tutoriales. Puedes utilizar el procedimiento que recomienda la Organización del Consumidor y Usuarios.
Configura la contraseña del Router con sistemas de encriptación segura: WPA3 (preferentemente) o WPA2.
4. Copias de seguridad
Realiza copias de seguridad de los documentos generados en local a través de alguno de los siguientes mecanismos:
- Memorias USB: previamente deberías haber limpiado o formateado para garantizar que no tiene ningún riesgo
- Disco duro externo
- Servicio de almacenamiento en la nube autorizado por la organización
5. Contraseñas y autenticación
Utiliza siempre que sea posible el acceso a los sistemas de información con certificado digital (preferiblemente T-CAT P) o sistemas de autenticación de doble factor para evitar que te roben la contraseña. (Los sistemas de doble factor se basan en códigos desechables que se envían por SMS o bien a una APP)
Utiliza contraseñas complejas: combinación de caracteres especiales, números y letras mayúsculas y minúsculas.
No apuntes las contraseñas corporativas en ninguna parte.
Si instalas certificados digitales en software en tu ordenador personal (TCAT-P, idCAT Certificado) utiliza la opción “Escribir la Contraseña para la clave privada”: de esta forma sólo se podrá utilizar el certificado digital si se conoce la contraseña.
Y además ...
Si tienes que utilizar muchas cuentas con diferentes usuarios y contraseña, utiliza una aplicación para gestionar de forma segura las distintas contraseñas. Existen diversas soluciones que ofrecen una versión gratuita (Lastpass, Dashlane, etc). Los dispositivos Apple - iOS disponen de un gestor de contraseñas integrado con el sistema operativo.
Y además ...
Los navegadores web de los equipos tendrán que estar actualizados y configurados con la última versión y parches de software.
Eliminar periódicamente el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales. Así evitas potenciales elementos espías.
7. Videoconferencias seguras
Convoca la reunión de forma segura. Permite que sólo los usuarios que conozcan los datos de la reunión puedan unirse a la sesión de videoconferencia. Por a hacerlo:
- Crea una reunión a la que sólo puedan unirse las personas invitadas.
- Envya la invitación a través del correo-e particular dels participantes o ser pasó por de una plataforma o canal securizado.
- Haz que laes personas a las que debegis invitado por correo-e tengan queiniciar sesión a través deesta mesa dirección o bien,
- utiliza un ssistema de autenticación de doble factor, por ejemplo generando el enlace de la reunión (o ID de reunión, en el caso de Zoom) y requerint una Clau para unirse.
- La sala de espera también es una característica muy útil para que los anfitriones controlen quién entra y quién sale de la reunión.
- No compartas el enlace para unirse a la reunión a través de redes sociales u otros foros públicos. CUALQUIER con el enlace podría unirse a la sesión.
Administra a los participantes.
- Configura de antemano quién podrá compartir pantalla o enviar archivos a través del chat durante la reunión.
- En el caso de reuniones grandes, recuerda que el anfitrión puede silenciar a los participantes individualción o todos a la vez, para evitar ecos, ruido de fondos y distracciones o conversaciones paralelas.
- Valora si es necesario bloquear la reunión cuando ya estén todos los participantes, para que no puedan unirse nuevos participantes no deseados.
Y además ...
Familiarízate previamente con la configuración y funciones de la herramienta de videoconferencia que utilizarás per sable cómo proteger el espacio virtual donde tendrá lugar la reunión.
Al final de la sesión, asegúrate de que el espacio virtual donde ha tenido lugar la reunión queda cerrado o accessible sólo para los participantes de la reunión, ya que pueden haber notas, archivos e información de carácter privado.
8. Suplantación de identidad
No hagas clics en enlaces, ni descargues ningún documento adjunto de correos electrónicos sospechosos. Sospecha de correos electrónicos que piden realizar actuaciones no habituales de renovar contraseñas. Revisa la dirección del remitente (no el sobrenombre) de los correos electrónicos aparentemente legítimos.
Y además ...
Cuando te conectes vía web verifica en la barra del navegador que la dirección web del destino es la correcta. Los ciberdelincuentes pueden replicar por completo una web y robarte tu contraseña.
9. Al terminar el trabajo
Cierra todas las conexiones a los sistemas de información y webs corporativas.
Realiza una copia de seguridad de los documentos locales que has trabajado y que no están cubiertos por la copia de seguridad corporativa.
Y además ...
Elimina el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales.
10. Más información
- Guía de Ciberseguridad para ayuntamientos y entidades locales
Asociación Catalana de Municipios - Normas de ciberseguridad para la prestación de servicios en la modalidad de teletrabajo
Agencia de Ciberseguridad de Cataluña - Píldora “Ciberseguridad y protección de datos”
Escuela de Administración Pública de Cataluña - Guía de seguridad en el teletrabajo
Centro Seguridad TIC de la Comunidad Valenciana - Recomendaciones para proteger las datos personales en situaciones de movilidad y teletrabajo
Agencia Española de Protección de Datos - Cómo teletrabajar de forma segura sin poner en riesgo a usuarios y organizaciones
Centro Criptológico Nacional - Teleworking Guidance: Best Practices, Sample Policies, and Cybersecurity
University of North Carolina, School of Government - Teleworking Quick Reference Guide
California Cyber Security Integration Center - CCN-CERT BP / 18 Recomendaciones de Seguridad para Situaciones de teletrabajo y REFUERZO en vigilancia
Centro Criptológico Nacional (contenido avanzado) - Cómo implantar una política de Acceso Remoto Seguro
Centro Criptológico Nacional (contenido avanzado) - Guide to Enterprise Telework and Remote Access Security
National Institute of Standards and Technology (contenido avanzado)
Agradecimientos
Este conjunto de recomendaciones ha sido elaborado a partir de recursos propios de la AOC, de las directrices de la Agencia de Ciberseguridad de Cataluña, la Asociación Catalana de Ingenieros de Telecomunicación de (Telecos.cat), los consultores Genís Margarit Contel y Cristina Ribas Casademont, y los documentos del apartado “Más información”.
Desde la AOC queremos agradecer todas las aportaciones desinteresadas y proactivas que hemos recibido y que son muy útiles y valiosas en estos momentos para garantizar la seguridad de los sistemas de información del sector público.
Notas
-
Esta guía está abierta a sugerencias, propuestas de mejora y correcciones. Tus comentarios serán muy bienvenidos: los puedes enviar a innovacio@aoc.cat.
-
Hemos pedido a dos entidades de la comunidad de software libre y cuatro usuarios que nos han hecho comentarios críticos que nos ayuden a completar esta guía con las recomendaciones específicas para los sistemas operativos basados en Linux. Por el momento no hemos recibido ninguna respuesta.