Guía para el Teletrabajo Seguro

Desde la declaración del estado de alarma con motivo de la crisis originada por la aparición del COVID-19, se ha impuesto, de manera generalizada, la modalidad de teletrabajo, debido a las medidas de confinamiento y prevención de propagación del contagio.

Esta nueva realidad, a la que hemos tenido que adaptarnos de manera muy rápida, no está exenta de riesgos ni dificultades. El propósito de esta guía es ayudaros a entender dichos riesgos y proporcionar una serie de consejos técnicos que aminoren dichos riesgos y faciliten la puesta en marcha de esta modalidad de trabajo.

Para lograr un despliegue efectivo y seguro, de manera general, debemos tener en cuenta los siguientes aspectos:

  • Tipos de usuarios que dispondrán de modalidad de teletrabajo y los permisos de acceso remoto de que dispondrán.
  • Securización de las conexión remotas y criterios para la conexión de equipos no confiables al entorno corporativo, ya sea remota o localmente, así como medidas de seguridad extraordinarias aplicables a los dispositivos utilizados para el teletrabajo.
  • Almacenamiento y compartición segura de la información del negocio fuera de las instalaciones, ya sea en equipos de la organización, equipos personales de empleados o dispositivos extraíbles.
  • Herramientas colaborativas y específicas que permitan el desarrollo de la actividad
  • Supervisión y reforzamiento de las copias de seguridad con copia fuera del domicilio de la empresa

Tipos de usuarios

Debe tener en cuenta que antes de otorgar acceso a la red y a los ordenadores de la entidad, deben clasificarse los distintos usuarios e identificar las aplicaciones y recursos compartidos a los que le corresponden por el tipo de trabajo que realiza. Estas tareas deben realizarse por el administrador de sistemas o por un servicio técnico especializado. Integra, como sabéis ofrece servicios de mantenimiento de infraestructuras de manera puntual o periódica.

Una vez generado el perfil que define las aplicaciones y recursos, deberá procederse a asignarle sus nuevas credenciales en caso de que sean distintas a las establecidas a las ya otorgadas en el controlador de dominio de la red. Vigile que las contraseñas incluyan mayúsculas, minúsculas, números y caracteres especiales.

También es posible configurar en cada equipo físico una sesión de escritorio remoto al que pueda acceder el usuario desde su domicilio a través de su equipo personal, lo que obligaría a mantener encendidos los ordenadores de cada trabajador en la empresa.

Securización de conexiones remotas y medidas de seguridad de los equipos remotos   

Debe entenderse que las transmisiones a través de redes públicas, como internet, representan un posible riesgo de seguridad, ya que la información viaja a través de múltiples servidores y dispositivos de red y por lo tanto es posible que exista en cualquier punto algún aplicativo que analice y registre los datos que circulan por la red.

Pero, siendo este un riesgo posible, el mayor riesgo de seguridad se da con el uso de conexiones wifi domésticas y públicas. Es desde todo punto de vista muy desaconsejable la conexión para teletrabajar desde redes públicas o abiertas ya que la mayoría de los ataques y situaciones de información confidencial comprometida se da en este tipo de conexiones. Sin embargo, y aunque en teoría las redes domesticas personales pueden ofrecer más seguridad que las descritas anteriormente, las wifis domésticas, por configuraciones deficientes o por el aprovechamiento de vulnerabilidades conocidas en routers, representan el punto más vulnerable de la conexión.

Nuestra recomendación es que, siempre que sea posible, se configuren VPN, o lo que es lo mismo, redes privadas virtuales, que cifren el contenido de la transmisión entre el equipo y los servidores de la empresa. Para el establecimiento de estas VPN debe contarse con el software adecuado o con equipos firewall que dispongan, en ambos extremos de dicha funcionalidad. Esta labor debe ser realizada por el administrador de la red o por el servicio técnico especializado. Nuestro servicio técnico está especializado en la configuración y despliegue de firewalls y appliances de seguridad.

Con respecto a las medidas de seguridad de los equipos domésticos deben observarse de manera escrupulosa las siguientes medidas de seguridad:

  • Antivirus instalado y actualizado. Nuestra recomendación siempre es el NOD32, pero cualquier antivirus de pago de los conocidos podría valer. No es suficiente protección los antivirus gratuitos o con características recortadas.
  • Evitar el uso de Windows 7 o anteriores, así como versiones obsoletas del Office u otros aplicativos ya que no tienen soporte y son inseguros.
  • Instalación y ejecución diaria de MalwareBytes.
  • Instalación de parches de seguridad del sistema operativo y del Office

Almacenamiento y compartición segura de la información

En la modalidad de teletrabajo, las herramientas de compartición de la información en la nube, se convierten en funcionalidades imprescindibles para el trabajo en equipo. Si bien es verdad que las redes locales permiten compartir ficheros y contenido digital, la edición compartida y simultánea de un mismo archivo, presenta importantes limitaciones si no se cuenta con herramientas adecuadas como muchos de los servicios de almacenamiento en la nube. Estos aplicativos, permiten, normalmente a través de un navegador web, que dos o más personas puedan acceder simultáneamente al mismo documento y editarlo de manera conjunta, viendo cada uno al mismo tiempo todas aportaciones en el documento final.

Integra ofrece soluciones de compartición de archivos en la nube, sin restricciones de espacio ni número de usuarios, llamada AlfaCloud, que tiene, además, las siguientes características: 

  • Backup diario con retención de 5 semanas
  • Cifrado de la información y acceso seguro a través de Internet (https)
  • Acceder a través de cualquier PC, tableta o dispositivo móvil (Smartphone)
  • Creación de grupos de usuario para facilitar la compartición a nivel departamental
  • Control de cambios e histórico online de versiones
  • Restauración granular que permite la recuperación de todo el sistema, de usuario, una carpeta o de un archivo eliminado o degradado

Herramientas colaborativas y específicas

Al igual que en el punto anterior, hay que suplir la falta de contacto físico entre los trabajadores, tan necesario a la hora de realizar tareas colectivas que requieran cierta coordinación, con herramientas que permitan la interactuación de los equipos de trabajo de la manera más natural posible. Nos estamos refiriendo a la videoconferencia, persona a persona o grupales, que permitan además, el uso de micrófonos, altavoces, cámaras, compartir la pantalla del ordenador y enviar ficheros y mensajes de texto.

En esta relación de herramientas faltarían todas aquellas específicas y propias de todo negocio y que deberían permitir la interactuación de los proveedores, usuarios y clientes y en las que estarían representadas las siguientes actividades, generales en muchas empresas y presentes en nuestro colectivo:

  • Tiendas virtuales
  • Gestión revistas, publicaciones y donativos (eDonativos)
  • Gestión de las obligaciones de la RGPD (eGovit)
  • Control de jornadas y presencia, versión para centros SchoolTracker y versión para instituciones PresenciaTracker
  • Gestión académica para universidades y centros educativos superiores (eFaculty)
  • Gestión de parroquias (AlfaIglesia)
  • AlfaCurias, para la gestión integral de las comunidades religiosas
  • Virtual Bodyguard, para el control de dispositivos de los menores en la red
  • Pack de Internet, con dominio, cuentas de correo y presencia web
  • eNotificaciones, para el envío masivo de correo electrónico

Todas estas aplicaciones se engloban dentro del proyecto School Suite para centros  y Presencia Suite, para instituciones, ONG, parroquias y Obispados.

Supervisión y reforzamiento de las copias de seguridad

Tal y como hemos comentado a lo largo de este artículo, son muchas las amenazas que se pueden desencadenar si el despliegue de la modalidad de teletrabajo se realiza sin las precauciones y competencias necesarias. Abrir nuestros sistemas al exterior y permitir conexiones remotas a nuestros empleados, proveedores y clientes, aumenta, de manera considerable, el riesgo de pedida de datos, intrusiones y ataques por virus y troyanos. Las consecuencias de no contar con un robusto sistema de copias de seguridad, puede suponer la pérdida de datos, la corrupción de los mismos, la incapacidad de recuperar toda la información de clientes, empleados y usuarios y, en última instancia, la desaparición de la empresa o institución de manera inmediata.

Las características de cualquier copia de seguridad debe ser:

  • Segura  y libre de virus e inconsistencias: La unidad de almacenamiento, servidor o servicio en la nube en que se hagan las copias de respaldo debe estar siempre libre de malware, por lo que es esencial contar con programas y herramientas de seguridad y realizar análisis periódicos para comprobar que no hay ninguna amenaza. También es conveniente contar con un sistema de encriptación de datos, no sólo para proteger los ficheros, sino para cumplir con la normativa de confidencialidad del RGPD en caso de que el backup contenga datos personales de terceros.
  • Automatizada: De nada sirve tener un sistema de almacenamiento seguro si tienes que hacer manualmente las copias de seguridad. Seleccionar los archivos a mano y copiarlos a otro directorio hace que la tarea de crear backups sea tediosa y, a menudo, desemboca en tener copias de seguridad desactualizadas, copias mal guardadas o perdidas, etc. En Integra ofrecemos herramientas que permiten hacer copias de seguridad de forma automática, programando una tarea con una serie de reglas para la copia de seguridad.
  • Periódica: Lo ideal es crear copias de seguridad de manera periódica de aquellos datos y archivos importantes para ti o tu empresa. La frecuencia con la que debes hacer copias de respaldo dependerá del tipo de datos que vayas a respaldar y de con qué frecuencia y en qué medida cambian los datos. No hay reglas fijas al respecto, pero ten en cuenta lo siguiente: ¿Cuántos datos, medidos en el tiempo, puedes permitirte perder antes de sufrir daños catastróficos? Realizar las copias con la mayor frecuencia posible te asegura que, en caso de necesidad, están lo suficientemente actualizadas.
  • Físicamente separadas del sistema: Es indispensable la separación física de los datos, lo que técnicamente se conoce como copia de backup offsite. Guardar una copia de seguridad en una ubicación distinta es una medida muy importante para evitar que, en caso de robo, incendio o cualquier otra catástrofe, todos los datos se pierdan. En este sentido, una alternativa muy práctica es almacenar una copia en la nube que garantice que tu información esté almacenada con total seguridad y fuera de la empresa.
  • Restaurable: Esta es la regla más ignorada y, con mucho, la más importante cuando se trata de copias de seguridad. Asumir que serás capaz de restaurar tus datos en caso de desastre, sin fallos, es un error habitual que todos cometemos. La corrupción en las copias de seguridad es posible, incluso si tienes los mejores software de copia de seguridad y hardware. Y la mejor manera de evitarlo es una restauración de prueba. Así que cada vez que hagas una copia de seguridad de tus datos, intenta restaurar algunos archivos de ella para ver si la copia de seguridad está dañada, y si lo está, realizar otra.

Integra ofrece, desde hace años, las mejores soluciones de backup para todo tipo de instituciones proporcionando almacenamiento en la nube o la custodia y trasporte semanal de las copias de seguridad físicas, si así se desea. Así mismo ofrece soluciones de backup para entornos Office 365 y G Suite de Google.

Estas soluciones de backup, en conjunto con las herramientas en cloud desarrolladas por Integra para las tareas específicas que desarrollan las escuelas y las instituciones, nos posicionan para ayudaros en que esta etapa de teletrabajo sea más eficiente y segura. Esperamos que esta guía os sirva de hoja de ruta para poner en marcha o revisar las condiciones y riesgos que deben contemplarse de cara al establecimiento del teletrabajo.

 

Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.

Madrid, 27 de abril de 2020