Guía rápida para teletrabajar con seguridad - buena

GUÍA RÁPIDA PARA TELETRABAJAR CON SEGURIDAD

Debido al estado de alarma provocado por el coronavirus, muchas administraciones y organismos públicos están promoviendo el teletrabajo para garantizar la continuidad de sus funciones y servicios. Sin embargo, el teletrabajo puede plantear riesgos de ciberseguridad si no se ha planificado con tiempo, se ha formado adecuadamente al personal y se ha configurado de forma segura los equipos y las conexiones. Dado el contexto actual, es posible que todo esto no se haya podido realizar en muchos casos; por este motivo le ofrecemos una selección de las principales medidas de protección básicas a tener en cuenta que le pueden ayudar a teletrabajar minimizando los riesgos de seguridad en el tratamiento de la información de su organización.

Tenga presente que la situación actual es muy atractiva para los ciberdelincuentes para robar contraseñas y secuestrar información confidencial a cambio de un rescate. Casos de este tipo han sucedido en los últimos meses en administraciones públicas con grave perjuicio económico y reputación.

Esta selección se ha elaborado con el objetivo de facilitar una guía práctica y ejecutiva, dirigida a usuarios no expertos de administraciones públicas medias y pequeñas, que no disponen de recursos para aplicar un plan completo y avanzado de seguridad. Queremos evitar un exceso de información y realizar recomendaciones no viables en las circunstancias en las que nos encontramos. Para los usuarios que tenga interés en profundizar en este tema, facilitamos enlaces adicionales al final de la guía.

Estas recomendaciones son de carácter general. Si su organización dispone de una guía de ciberseguridad propia haga caso de ésta.
 

1. Aspectos organizativos

Es muy probable que tu organización ya disponga de un protocolo y responsable de ciberseguridad. Verifica con él los puntos que te ofrecemos a continuación.

Sigue las instrucciones de seguridad del responsable tecnológico de tu organización.

Haz uso de las herramientas y aplicaciones autorizadas por parte de tu organización. Si tienes la necesidad de utilizar otras soluciones sé prudente y utiliza sólo aplicaciones de confianza.

Y además ...

Valida que se realizan copias de seguridad de los documentos corporativos que trabajarás desde casa.

Entérate bien de cuál es el canal de comunicación de incidencias y de resolución de dudas.

Notifica de inmediato cualquier incidente de ciberseguridad al responsable tecnológico de tu entidad.

2. Equipo de trabajo

Desde el equipo de trabajo de tu casa tendrás acceso a la información confidencial de tu organización. Tanto si utilizas un ordenador corporativo, como un ordenador personal hay que tener en cuenta un conjunto de medidas de protección y preventivas. Si utilizas un equipo de trabajo corporativo, lo más habitual es que ya cumpla la mayoría o la totalidad de las recomendaciones a través de las políticas de seguridad que ha forzado el administrador.

Asegúrate de que el sistema y las aplicaciones están actualizadas con las últimas versiones y que la actualización automática de versiones está activada.

Comprueba que tu ordenador tiene un sistema deanti-virus y anti-malware activo.

  • Para Windows: activa Microsoft Defender Anti-malware
  • Para MAC: instala alguna solución de mercado con una versión gratuita: Kaspersky, Avast, AVG, Bitdefender, etc.

apliquelo bloqueo automático de la pantalla diez minutos después.

Y además ...

Crea en tu sistema operativo una cuenta independiente para tu familia y para teletrabajar. Debe evitarse cualquier acceso no autorizado a información confidencial.

Activa un Cortafuegos (firewall) en tu equipo.

3. Conexión a Internet y acceso remoto

Las redes WiFi domésticas no suelen disponer de los mismos controles de seguridad, como cortafuegos, que se implementan en las oficinas corporativas. Por eso, cuando trabajas de forma remota es necesario prestar especial atención a las características de la red a través de la cual te conectas, ya sea para navegar por internet como para acceder a los sistemas y datos de tu organización.

Evita utilizar redes públicas WiFi que no sean conocidas y de confianza para acceder remotamente a los servicios de la organización.

Y además ...

Utiliza, en su caso, los servicios de conexión remota VPN (red privada virtual) que recomiende tu organización para acceder a los sistemas de información corporativa.

Comprueba que el Router de conexión a Internet no utiliza la contraseña por defecto de fábrica. En Internet y YouTube encontrarás muchos tutoriales. Puedes utilizar el procedimiento que recomienda la Organización del Consumidor y Usuarios.

Configura la contraseña del Router con sistemas de encriptación segura: WPA3 (preferentemente) o WPA2.

4. Copias de seguridad

Toda la documentación ofimática que generes en el ordenador privado que utilices para teletrabajar y no sea guardada en el servidor de la organización, seguramente no dispondrá de un sistema de copia de seguridad automatizado. Por tanto, es recomendable que tomes la precaución de realizar copias de seguridad.

Realiza copias de seguridad de los documentos generados en local a través de alguno de los siguientes mecanismos:

  • Memorias USB: previamente deberías haber limpiado o formateado para garantizar que no tiene ningún riesgo
  • Disco duro externo
  • Servicio de almacenamiento en la nube autorizado por la organización

5. Contraseñas y autenticación

Cuando teletrabajas la forma de autenticarte en los sistemas y aplicaciones es especialmente crítica, ya que con una contraseña sustraída se podría acceder a información confidencial y/o tomar el control de un servicio de tu organización. A continuación te ofrecemos algunas recomendaciones para autenticarte con mayor seguridad, así como para definir y utilizar contraseñas más robustas.

Utiliza siempre que sea posible el acceso a los sistemas de información con certificado digital (preferiblemente T-CAT P) o sistemas de autenticación de doble factor para evitar que te roben la contraseña. (Los sistemas de doble factor se basan en códigos desechables que se envían por SMS o bien a una APP)

Utiliza contraseñas complejas: combinación de caracteres especiales, números y letras mayúsculas y minúsculas.

No apuntes las contraseñas corporativas en ninguna parte.

Si instalas certificados digitales en software en tu ordenador personal (TCAT-P, idCAT Certificado) utiliza la opción “Escribir la Contraseña para la clave privada”: de esta forma sólo se podrá utilizar el certificado digital si se conoce la contraseña.

Y además ...

Si tienes que utilizar muchas cuentas con diferentes usuarios y contraseña, utiliza una aplicación para gestionar de forma segura las distintas contraseñas. Existen diversas soluciones que ofrecen una versión gratuita (Lastpass, Dashlane, etc). Los dispositivos Apple - iOS disponen de un gestor de contraseñas integrado con el sistema operativo.

Y además ...

Los navegadores web de los equipos tendrán que estar actualizados y configurados con la última versión y parches de software.

Eliminar periódicamente el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales. Así evitas potenciales elementos espías.

7. Videoconferencias seguras

Para garantizar la seguridad y la privacidad de las conversaciones durante laes videoconferenciaes con tu equipo de trabajo o proyecto, caballo tener en cuenta los siguientes aspectos:

Convoca la reunión de forma segura. Permite que sólo los usuarios que conozcan los datos de la reunión puedan unirse a la sesión de videoconferencia. Por a hacerlo:

  1. Crea una reunión a la que sólo puedan unirse las personas invitadas.
  2. Envya la invitación a través del correo-e particular dels participantes o ser pasó por de una plataforma o canal securizado.
    • Haz que laes personas a las que debegis invitado por correo-e tengan queiniciar sesión a través deesta mesa dirección o bien,
    • utiliza un ssistema de autenticación de doble factor, por ejemplo generando el enlace de la reunión (o ID de reunión, en el caso de Zoom) y requerint una Clau para unirse.
    • La sala de espera también es una característica muy útil para que los anfitriones controlen quién entra y quién sale de la reunión.
  3. No compartas el enlace para unirse a la reunión a través de redes sociales u otros foros públicos. CUALQUIER con el enlace podría unirse a la sesión.

Administra a los participantes.

  • Configura de antemano quién podrá compartir pantalla o enviar archivos a través del chat durante la reunión.
  • En el caso de reuniones grandes, recuerda que el anfitrión puede silenciar a los participantes individualción o todos a la vez, para evitar ecos, ruido de fondos y distracciones o conversaciones paralelas.
  • Valora si es necesario bloquear la reunión cuando ya estén todos los participantes, para que no puedan unirse nuevos participantes no deseados.

Y además ...

Familiarízate previamente con la configuración y funciones de la herramienta de videoconferencia que utilizarás per sable cómo proteger el espacio virtual donde tendrá lugar la reunión.

Al final de la sesión, asegúrate de que el espacio virtual donde ha tenido lugar la reunión queda cerrado o accessible sólo para los participantes de la reunión, ya que pueden haber notas, archivos e información de carácter privado.

8. Suplantación de identidad

El phishing es un tipo de ciberdelito que consiste en el envío de correos fraudulentos con el objetivo de robar su contraseña u otra información personal. Es una de las estafas más utilizadas por los delincuentes informáticos. El funcionamiento del phishing es sencillo: se recibe un correo electrónico, con una apariencia legítima que pide actualizar, validar o confirmar información mediante un enlace. Tras clicar en él, se te redirige a una página web falsa, en la que se procede al robo de tu contraseña u otros datos.

No hagas clics en enlaces, ni descargues ningún documento adjunto de correos electrónicos sospechosos. Sospecha de correos electrónicos que piden realizar actuaciones no habituales de renovar contraseñas. Revisa la dirección del remitente (no el sobrenombre) de los correos electrónicos aparentemente legítimos.

Y además ...

Cuando te conectes vía web verifica en la barra del navegador que la dirección web del destino es la correcta. Los ciberdelincuentes pueden replicar por completo una web y robarte tu contraseña.

9. Al terminar el trabajo

Desde el equipo de trabajo de tu casa tendrás acceso a la información confidencial de tu organización.

Cierra todas las conexiones a los sistemas de información y webs corporativas.

Realiza una copia de seguridad de los documentos locales que has trabajado y que no están cubiertos por la copia de seguridad corporativa.

Y además ...

Elimina el historial de navegación, cookies, contraseñas recordadas y otros archivos temporales.

10. Más información

Los usuarios que desee ampliar la información de esta guía le recomendamos que visite las siguientes páginas web con contenidos especializados:

Agradecimientos

Este conjunto de recomendaciones ha sido elaborado a partir de recursos propios de la AOC, de las directrices de la Agencia de Ciberseguridad de Cataluña, la Asociación Catalana de Ingenieros de Telecomunicación de (Telecos.cat), los consultores Genís Margarit Contel y Cristina Ribas Casademont, y los documentos del apartado “Más información”.

Desde la AOC queremos agradecer todas las aportaciones desinteresadas y proactivas que hemos recibido y que son muy útiles y valiosas en estos momentos para garantizar la seguridad de los sistemas de información del sector público.

Notas

  1. Esta guía está abierta a sugerencias, propuestas de mejora y correcciones. Tus comentarios serán muy bienvenidos: los puedes enviar a innovacio@aoc.cat.
  2. Hemos pedido a dos entidades de la comunidad de software libre y cuatro usuarios que nos han hecho comentarios críticos que nos ayuden a completar esta guía con las recomendaciones específicas para los sistemas operativos basados ​​en Linux. Por el momento no hemos recibido ninguna respuesta.